阿帕奇软件基金会(Apache Software Foundation)发布了阿帕奇流量服务器(Apache Traffic Server)的安全更新,解决了可能使用户遭受一系列网络攻击的三个关键漏洞。 这些漏洞影响到 9.0.0 至 9.2.5 版和 10.0.0 至 10.0.1 版,包括缓存中毒和潜在的权限升级。
CVE-2024-38479 (CVSS 7.5): 缓存密钥插件漏洞
此漏洞允许攻击者操纵缓存密钥插件,可能导致缓存中毒攻击。 通过向服务器缓存注入恶意内容,攻击者可将用户重定向到钓鱼网站或发送恶意软件。
CVE-2024-50305 (CVSS 7.5): 主机字段漏洞
特制的「Host」字段值可引致Apache Traffic Server 崩溃。 此阻断服务漏洞可被利用来干扰网站的可用性及影响合法用户。
CVE-2024-50306 (CVSS 9.1): 启动时的权限升级
此高严重漏洞源于一个未检查的回传值,可能允许Apache Traffic Server在启动时保留较高的权限。 利用此漏洞,攻击者可对服务器及其数据进行重大控制。
缓解措施
Apache 软件基金会敦促所有用户立即更新其安装。 9.x 分支的用户应升级到 9.2.6 或更高版本,而运行 10.x 分支的用户应升级到 10.0.2 或更高版本。
发表评论
您还未登录,请先登录。
登录