به روزرسانی امنیتی Apache Traffic Server
Apache Traffic Server (ATS) یک سرور پراکسی با قابلیت کش است.
Apache Traffic Server (ATS) یک سرور پراکسی با قابلیت کش است. به تازگی چند آسیب پذیری روی این نرم افزار گزارش شده که با به روزرسانی می توان آنها را برطرف کرد. این آسیب پذیری ها عبارت اند از: CVE-2018-8022 یک دست دهی (handshaking) TLS با طراحی خاص می تواند باعث ایجاد خطای قطعه بندی (segmentation fault) در ATS شود. CVE-2018-8040 در اثر این نقص، صفحاتی که توسط پلاگین ESI رندر گرفته می شوند می توانند به متغیرهای سرایند کوکی دسترسی داشته باشند، حتی وقتی طبق پیکربندی، این پلاگین نباید اجازه چنین دسترسی ای را بدهد. CVE-2018-1318 افزودن method ACLها به فایل remap.config می تواند باعث شود تا وقتی کاربر درخواستی با طراحی خاص ارسال می کند، خطای قطعه بندی رخ دهد. CVE-2018-8005 وقتی در یک درخواست بازه ای (range request)، چند بازه مورد درخواست قرار گیرند، ATS شیء را به طور کامل از کش می خواند. وقتی اشیاء موجود در کش بزرگ باشند، این مساله می تواند مشکلاتی را در کارایی ایجاد کند. CVE-2018-8004 چند نقص در ATS وجود دارد که باعث HTTP smuggling و مسمومیت کش می شود. این اتفاق زمانی رخ می دهد که کلاینت ها درخواست های بدخواهانه ای را ایجاد می کنند و با ATS تعامل می کنند. |
||||||||||||||||||||||||
نحوه مقابله با آسیب پذیری ها
این آسیب پذیری ها در سری 6.x، تا نسخه 6.2.2 و در سری 7.x تا نسخه 7.1.3 را تحت تاثیر قرار می دهند. برای رفع این آسیب پذیری ها، باید آن ها را به ترتیب به نسخه های 6.2.3 و 7.1.4 به بالا به روزرسانی کرد. جدول زیر جرئیات بیشتری را ارائه می دهد:
|
||||||||||||||||||||||||
منابع: http://openwall.com/lists/oss-security/2018/08/29/1 http://openwall.com/lists/oss-security/2018/08/29/2 http://openwall.com/lists/oss-security/2018/08/29/3 http://openwall.com/lists/oss-security/2018/08/29/4 |