به روزرسانی امنیتی Apache Traffic Server

Apache Traffic Server (ATS) یک سرور پراکسی با قابلیت کش است.

 به روزرسانی امنیتی Apache Traffic Server

Apache Traffic Server (ATS) یک سرور پراکسی با قابلیت کش است. به تازگی چند آسیب پذیری روی این نرم افزار گزارش شده که با به روزرسانی می توان آنها را برطرف کرد. این آسیب پذیری ها عبارت اند از:

CVE-2018-8022

یک دست دهی (handshaking) TLS با طراحی خاص می تواند باعث ایجاد خطای قطعه بندی (segmentation fault) در ATS شود.

CVE-2018-8040

در اثر این نقص، صفحاتی که توسط پلاگین ESI رندر گرفته می شوند می توانند به متغیرهای سرایند کوکی دسترسی داشته باشند، حتی وقتی طبق پیکربندی، این پلاگین نباید اجازه چنین دسترسی ای را بدهد.

CVE-2018-1318

افزودن method ACLها به فایل remap.config می تواند باعث شود تا وقتی کاربر درخواستی با طراحی خاص ارسال می کند، خطای قطعه بندی رخ دهد.

CVE-2018-8005

وقتی در یک درخواست بازه ای (range request)، چند بازه مورد درخواست قرار گیرند، ATS شیء را به طور کامل از کش می خواند. وقتی اشیاء موجود در کش بزرگ باشند، این مساله می تواند مشکلاتی را در کارایی ایجاد کند.

CVE-2018-8004

چند نقص در ATS وجود دارد که باعث HTTP smuggling و مسمومیت کش می شود. این اتفاق زمانی رخ می دهد که کلاینت ها درخواست های بدخواهانه ای را ایجاد می کنند و با ATS تعامل می کنند.

 نحوه مقابله با آسیب پذیری ها

این آسیب پذیری ها در سری 6.x، تا نسخه 6.2.2 و در سری 7.x تا نسخه 7.1.3 را تحت تاثیر قرار می دهند. برای رفع این آسیب پذیری ها، باید آن ها را به ترتیب به نسخه های 6.2.3 و 7.1.4 به بالا به روزرسانی کرد. جدول زیر جرئیات بیشتری را ارائه می دهد:

 

نحوه مقابله نسخه آسیب پذیر شناسه
به روزرسانی نسخه های 6.x به 6.2.3 یا بالاتر 6.2.2 CVE-2018-8022
به روزرسانی به نسخه 6.2.3 یا بالاتر 6.0.0 to 6.2.2 CVE-2018-8040
به روزرسانی به نسخه 7.1.4 یا بالاتر 7.0.0 – 7.1.3  
به روزرسانی به نسخه 6.2.3 یا بالاتر 6.0.0 – 6.2.2 CVE-2018-1318
به روزرسانی به نسخه 7.1.4 یا بالاتر 7.0.0 – 7.1.3  
به روزرسانی به نسخه 6.2.3 یا بالاتر 6.0.0 – 6.2.2 CVE-2018-8005
به روزرسانی به نسخه 7.1.4 یا بالاتر 7.0.0 – 7.1.3  

 

منابع:

http://openwall.com/lists/oss-security/2018/08/29/1

http://openwall.com/lists/oss-security/2018/08/29/2

http://openwall.com/lists/oss-security/2018/08/29/3

http://openwall.com/lists/oss-security/2018/08/29/4

http://openwall.com/lists/oss-security/2018/08/29/5

http://openwall.com/lists/oss-security/2018/08/29/6

کلمات کلیدی