Sicherheitslücken im Apache Traffic Server: Angreifer können Schwachstellen ausnutzen
In dem quelloffenen Proxy-Server Apache Traffic Server (ATS) wurden zwei Sicherheitslücken entdeckt, von denen eine von Angreifern für verschiedene kriminelle Zwecke missbraucht werden kann. Die erste Schwachstelle betrifft das PROXY-Protokoll und die Anwendung von Zugriffskontrollen (ACLs). In diesem Zusammenhang wird ATS nicht in der Lage sein, die Client-IP-Adresse korrekt zu berücksichtigen, was Unbefugten den Zugang ermöglichen könnte. Diese Lücke wurde mit der Kennung CVE-2025-31698 identifiziert und betrifft die Versionen von ATS ab 9.0.0 bis 9.2.10 sowie 10.0.0 bis 10.0.5. Die Entwickler haben nun eine neue Konfigurationsoption (proxy.config.acl.subjects) eingeführt, die es ermöglicht, anzugeben, welche IP-Adresse für die ACLs der Optionen ip_allow.config und remap.config als vertrauenswürdig eingestuft und verwendet werden soll. Durch die Implementierung dieser Option kann das Problem behoben und unberechtigter Zugriff verhindert werden.
Die zweite Sicherheitslücke betrifft das ESI (Edge Side Includes)-Plug-in von ATS. Angreifer könnten diese Schwachstelle ausnutzen, um Denial-of-Service-Attacken durchzuführen, indem sie den Ressourcenverbrauch des Plug-ins überlasten und letztlich zu einem vollständigen Speicherabruf führen. Diese Lücke wurde mit CVE-2025-49763 bezeichnet und betrifft ebenfalls die genannten ATS-Versionen. Um diese Schwachstelle zu schließen, haben die Entwickler einen neuen Standardwert für die Inklusionstiefe des ESI-Plug-ins eingeführt, der in den meisten Fällen ausreichend sein sollte. Zusätzlich kann eine manuelle Anpassung der Inklusionstiefe vorgenommen werden, um das Risiko weiter zu minimieren.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Schwere dieser Sicherheitslücken mit einem CVSS-Wert von 8,2 eingestuft, was als hoch klassifiziert wird. Angesichts dieses hohen Risikos wird IT-Verantwortlichen dringend empfohlen, zügig auf die neuesten Versionen von Apache Traffic Server (ab 9.0.6 oder neuer) zu aktualisieren und die neuen Konfigurationsoptionen entsprechend einzustellen, insbesondere wenn diese Funktionen innerhalb ihrer Systeme eingesetzt werden.
Schlagwörter: ATS + Apache + CVE-2025-31698
(pz)
