{"id":13383,"date":"2025-06-19T09:27:49","date_gmt":"2025-06-19T09:27:49","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/06\/19\/sicherheitsluecken-im-apache-traffic-server-angreifer-koennen-schwachstellen-ausnutzen\/"},"modified":"2025-06-29T13:55:38","modified_gmt":"2025-06-29T13:55:38","slug":"sicherheitsluecken-im-apache-traffic-server-angreifer-koennen-schwachstellen-ausnutzen","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=13383","title":{"rendered":"Sicherheitsl\u00fccken im Apache Traffic Server: Angreifer k\u00f6nnen Schwachstellen ausnutzen"},"content":{"rendered":"<p>In dem quelloffenen Proxy-Server Apache Traffic Server (ATS) wurden zwei Sicherheitsl\u00fccken entdeckt, von denen eine von Angreifern f\u00fcr verschiedene kriminelle Zwecke missbraucht werden kann. Die erste Schwachstelle betrifft das PROXY-Protokoll und die Anwendung von Zugriffskontrollen (ACLs). In diesem Zusammenhang wird ATS nicht in der Lage sein, die Client-IP-Adresse korrekt zu ber\u00fccksichtigen, was Unbefugten den Zugang erm\u00f6glichen k\u00f6nnte. Diese L\u00fccke wurde mit der Kennung CVE-2025-31698 identifiziert und betrifft die Versionen von ATS ab 9.0.0 bis 9.2.10 sowie 10.0.0 bis 10.0.5. Die Entwickler haben nun eine neue Konfigurationsoption (proxy.config.acl.subjects) eingef\u00fchrt, die es erm\u00f6glicht, anzugeben, welche IP-Adresse f\u00fcr die ACLs der Optionen ip_allow.config und remap.config als vertrauensw\u00fcrdig eingestuft und verwendet werden soll. Durch die Implementierung dieser Option kann das Problem behoben und unberechtigter Zugriff verhindert werden. <\/p>\n<p>Die zweite Sicherheitsl\u00fccke betrifft das ESI (Edge Side Includes)-Plug-in von ATS. Angreifer k\u00f6nnten diese Schwachstelle ausnutzen, um Denial-of-Service-Attacken durchzuf\u00fchren, indem sie den Ressourcenverbrauch des Plug-ins \u00fcberlasten und letztlich zu einem vollst\u00e4ndigen Speicherabruf f\u00fchren. Diese L\u00fccke wurde mit CVE-2025-49763 bezeichnet und betrifft ebenfalls die genannten ATS-Versionen. Um diese Schwachstelle zu schlie\u00dfen, haben die Entwickler einen neuen Standardwert f\u00fcr die Inklusionstiefe des ESI-Plug-ins eingef\u00fchrt, der in den meisten F\u00e4llen ausreichend sein sollte. Zus\u00e4tzlich kann eine manuelle Anpassung der Inklusionstiefe vorgenommen werden, um das Risiko weiter zu minimieren. <\/p>\n<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat die Schwere dieser Sicherheitsl\u00fccken mit einem CVSS-Wert von 8,2 eingestuft, was als hoch klassifiziert wird. Angesichts dieses hohen Risikos wird IT-Verantwortlichen dringend empfohlen, z\u00fcgig auf die neuesten Versionen von Apache Traffic Server (ab 9.0.6 oder neuer) zu aktualisieren und die neuen Konfigurationsoptionen entsprechend einzustellen, insbesondere wenn diese Funktionen innerhalb ihrer Systeme eingesetzt werden.<\/p>\n<p>Schlagw\u00f6rter: ATS + Apache + CVE-2025-31698<br \/>(pz)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In dem quelloffenen Proxy-Server Apache Traffic Server (ATS) wurden zwei Sicherheitsl\u00fccken entdeckt, von denen eine von Angreifern f\u00fcr verschiedene kriminelle Zwecke missbraucht werden kann. Die erste Schwachstelle betrifft das PROXY-Protokoll und die Anwendung von Zugriffskontrollen (ACLs). In diesem Zusammenhang wird ATS nicht in der Lage sein, die Client-IP-Adresse korrekt zu&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":13382,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-13383","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13383","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13383"}],"version-history":[{"count":1,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13383\/revisions"}],"predecessor-version":[{"id":13500,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13383\/revisions\/13500"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/13382"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13383"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13383"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13383"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}