鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Apache Traffic Server多个清静误差

宣布时间 2021-06-30

0x00 误差概述

产品名称	CVE ID	形貌	误差品级	远程使用
Apache Traffic Server	CVE-2021-27577	缓存中毒	中危	是
	CVE-2021-32565	HTTP请求走私	中危
	CVE-2021-32566	Dos	高危
	CVE-2021-32567	频仍读取	中危
	CVE-2021-35474	客栈缓冲区溢出	高危

0x01 误差详情

Apache Traffic Server? （ATS）软件是一种快速、可扩展的HTTP/1.1 和 HTTP/2 兼容的开源Web缓存署理效劳器，，，现为Apache 软件基金会的顶级项目。。。

克日，，，Apache Traffic Server被披露保存多个清静误差，，，这将导致ATS容易受到种种 HTTP/1.x 和 HTTP/2 攻击。。。

本次披露的误差包括：

CVE-2021-27577：Apache Traffic Server的url片断处置惩罚过失导致缓存中毒（中危）

CVE-2021-32565：通过界说Content-Length字段实现HTTP请求走私（中危）

CVE-2021-32566：HTTP/2 帧的特定序列可能导致 ATS 瓦解（高危）

CVE-2021-32567：多次读取 HTTP/2 帧�。。ㄖ形＃�

CVE-2021-35474：cachekey插件中的动态客栈缓冲区溢出（高危）

影响规模

ATS 7.0.0 - 7.1.12

ATS 8.0.0 - 8.1.1

ATS 9.0.0 - 9.0.1

0x02 处置惩罚建议

现在这些误差已经修复，，，建议升级至以下版本：

7.x 用户：升级到 8.1.2 或 9.0.2 或更高版本

8.x 用户：升级到 8.1.2 或更高版本

9.x 用户：升级到 9.0.2 或更高版本

下载链接：

https://trafficserver.apache.org/downloads

0x03 参考链接

https://lists.apache.org/thread.html/ra1a41ff92a70d25bf576d7da2590575e8ff430393a3f4a0c34de4277%40%3Cannounce.trafficserver.apache.org%3E

https://trafficserver.apache.org/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-32565

0x04 时间线

2021-06-24 误差披露

2021-06-30 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】