Apache Traffic Server 漏洞允许攻击者触发 DoS 攻击

Apache 软件基金会已发布紧急安全更新，以解决 Apache Traffic Server（ATS）中存在的两个严重漏洞。

ATS 作为高性能的 Web 代理缓存，可提高网络效率并处理大量企业网络流量。

这些新发现的缺陷源于服务器处理带有消息体的 HTTP 请求的方式。

如果未进行修补，远程攻击者可以利用这些弱点触发拒绝服务（DoS）条件，或对企业网络执行复杂的 HTTP 请求走私攻击。

Apache Traffic Server 漏洞

最破坏性的缺陷被追踪为 CVE-2025-58136。安全研究员 Masakazu Kitajo 发现，一个简单的、合法的 HTTP POST 请求会导致整个 ATS 应用程序崩溃。

由于 POST 请求是向 Web 服务器提交数据的标准方法，因此这种漏洞很容易被远程攻击者利用。

当被利用时，崩溃会导致立即的拒绝服务攻击，使代理服务器瘫痪，并阻止所有依赖该基础设施的合法用户访问。

第二个漏洞被命名为 CVE-2025-65114，由安全研究员 Katsutoshi Ikenoya 发现。

该漏洞的核心在于 Apache Traffic Server 在数据传输过程中如何处理格式错误的分块消息体。攻击者可以利用这种不当处理来实现 HTTP 请求走私。

这种高级攻击技术使恶意行为者能够操纵 HTTP 请求序列的处理过程，绕过安全控制以污染 Web 缓存或获取下游服务器上敏感数据的未授权访问。

这些漏洞影响 Apache Traffic Server 的多个活跃分支。根据官方安全公告，受影响的软件包括 ATS 版本 9.0.0 至 9.2.12，以及 10.0.0 至 10.1.1 版本。

管理这些特定版本的系统管理员必须立即采取行动，确保其网络环境免受潜在利用。

Apache 软件基金会强烈建议所有管理员将其安装升级到最新的安全版本。

运行 9.x 分支的用户应更新到 9.1.13 版本或更高版本。同时，使用 10.x 分支的组织必须升级到 10.1.2 版本或更新版本，以完全消除该威胁。

对于无法立即应用软件更新的团队，针对 DoS 漏洞（CVE-2025-58136）存在一个临时解决方案。

管理员可以通过将 proxy.config.http.request_buffer_enabled 参数设置为 0 来阻止崩溃。幸运的是，这已经是系统配置的默认值，这意味着许多服务器可能已经受到保护，不会发生崩溃。

然而，对于请求走私漏洞（CVE-2025-65114）完全没有可行的解决方案。因此，全面软件升级仍然是唯一有效的策略，以保护服务器环境免受这两种威胁。