【中危】 Apache Traffic Server Range 标头验证不当

漏洞描述

Apache Traffic Server(ATS)是一个开源的反向代理和缓存服务器。

受影响版本中,由于 HttpTransact 类未对无效 Range 标头进行过滤,并且 URL 类未对传入 URL 参数的重复斜杠进行过滤,攻击者可利用此漏洞对 Apache Traffic Server 进行访问控制、DOS 和缓存中毒攻击。

漏洞名称 Apache Traffic Server Range标头验证不当
漏洞类型 输入验证不恰当
发现时间 2023/8/9
漏洞影响广度
MPS编号 MPS-c850-3fjg
CVE编号 CVE-2023-33934
CNVD编号 -

影响范围

Apache Traffic Server@[8.0.0, 8.1.8)

Apache Traffic Server@[9.0.0, 9.2.2)

修复方案

升级Apache Traffic Server到 8.1.8、9.2.2 或更高版本

官方已发布补丁:https://github.com/apache/trafficserver/commit/3640b5f8daefe7f9a8d7c060f3f2a0cb04eb7532

官方已发布补丁:https://github.com/apache/trafficserver/commit/c50ee6c4f2ae32f2c849fccb5b0f367165fe9c20

参考链接

https://www.oscs1024.com/hd/MPS-c850-3fjg

https://nvd.nist.gov/vuln/detail/CVE-2023-33934

https://lists.apache.org/thread/jsl6dfdgs1mjjo1mbtyflyjr7xftswhc

https://github.com/apache/trafficserver/commit/c50ee6c4f2ae32f2c849fccb5b0f367165fe9c20

https://github.com/apache/trafficserver/commit/3640b5f8daefe7f9a8d7c060f3f2a0cb04eb7532

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj

产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅: https://www.oscs1024.com/cm/?sf=qbyj

在这里插入图片描述

你可能感兴趣的:(墨菲安全实验室漏洞预警,网络安全,安全,apache)