Apache Software Foundation は、Apache Traffic Server (ATS) の 2 つの脆弱性に対応するための重要なセキュリティアップデートをリリースしました。
2026年4月2日に公開されたこれらの欠陥により、遠隔の脅威アクターが denial-of-service (DoS) 状態をトリガーしたり、HTTP リクエストスマグリング攻撃を実行したりできる可能性があります。
脆弱性は、サーバーがボディデータを含む HTTP リクエストを処理する方法に起因しています。
脆弱性の理解
セキュリティ研究者の Masakazu Kitajo と Katsutoshi Ikenoya が発見した2 つの異なる問題は、ATS がウェブトラフィックを処理する方法に影響します。
最初の脆弱性は CVE-2025-58136 として追跡されており、攻撃者は単に正当な POST リクエストを送信するだけでサーバーをクラッシュさせることができます。
特別な認証が必要ないため、この欠陥は denial-of-service 攻撃に対して深刻なリスクをもたらします。脅威アクターはエンタープライズネットワークを混乱させ、アプリケーションをオフラインにするためにこれを簡単に悪用できます。
2 番目の脆弱性は CVE-2025-65114 として識別され、不正形式のチャンク化メッセージボディの不正な処理によって引き起こされる HTTP リクエストスマグリングの欠陥です。
リクエストスマグリングは、異なるサーバーが HTTP リクエスト境界をどのように解釈するかに干渉するために攻撃者を許可する非常に危険な技術です。
これにより脅威アクターはセキュリティコントロールをバイパスしたり、ウェブキャッシュを汚染したり、同じサーバーに接続している他のユーザーから機密データをインターセプトしたりできます。
Apache Traffic Server は人気の高い高性能ウェブプロキシおよびキャッシングサーバーであり、これらの脆弱性はエンタープライズ環境にとって重大な懸念事項となります。
管理者は自社のデプロイメントを確認することを強く推奨されます。影響を受けるソフトウェアバージョンには、ATS 9.x ブランチ (9.0.0 から 9.2.12 まで) と ATS 10.x ブランチ (10.0.0 から 10.1.1 まで) が含まれます。
軽減策と回避策
インフラストラクチャを保護するために、ネットワーク管理者は ATS インストールを直ちにアップグレードする必要があります。
9.x ブランチを実行しているユーザーはバージョン 9.1.13 以降に更新する必要があります。一方、10.x ブランチを使用している組織は、両方の脅威から完全な保護を確保するためにバージョン 10.1.2 以降にアップグレードする必要があります。
直ちにパッチを適用できない場合、denial-of-service 脆弱性 (CVE-2025-58136) に対する一時的な回避策があります。
管理者は設定パラメーター proxy.config.http.request_buffer_enabled を 0 に設定することで、サーバークラッシュを防ぐことができます。これは標準セットアップではデフォルト値である点に注目できます。
ただし、リクエストスマグリング脆弱性 (CVE-2025-65114) に対して利用できる設定回避策はありません。この制限があるため、ソフトウェアのアップグレードがサーバーを保護するための唯一の確実な方法です。
翻訳元: https://gbhackers.com/apache-traffic-server-flaw-2/
