概要
Apache Software Foundationは、Apache Traffic Server (ATS) における2つの脆弱性に対処するための重要なセキュリティ更新プログラムを公開しました。これらの脆弱性は、攻撃者がサービス拒否(DoS)状態を引き起こすか、HTTP要求詐称攻撃を行うことを可能にします。
脆弱性の理解
セキュリティ研究者であるMasakazu Kitajo氏とKatsutoshi Ikenoya氏は、ATSがウェブトラフィックを処理する方法における2つの異なる問題を発見しました。これらの脆弱性は、サーバーがHTTP要求のボディデータをどのように処理するかに関連しています。
第一の脆弱性
CVE-2025-58136 と追跡されているこの脆弱性は、攻撃者が正当なPOST要求を送ることでサーバーをクラッシュさせる可能性があります。特別な認証が必要ないため、これがサービス拒否攻撃の深刻なリスクとなっています。
第二の脆弱性
CVE-2025-65114 は、不適切に処理された破損したチャンクメッセージボディが引き起こすHTTP要求詐称の脆弱性です。要求詐称は、異なるサーバーがHTTP要求境界をどのように解釈するかを干渉させる非常に危険な技術であり、セキュリティ制御をバイパスしたり、ウェブキャッシュを汚染したり、他のユーザーから得た機密データを盗む可能性があります。
影響範囲
Apache Traffic Serverは、高パフォーマンスのWebプロキシおよびキャッシュサーバーとして人気があり、これらの脆弱性は企業環境にとって重大な懸念事項となっています。管理者はすぐにデプロイを確認することをお勧めします。
影響を受けたソフトウェアバージョン
- ATS 9.x ブランチ:9.0.0から9.2.12まで
- ATS 10.x ブランチ:10.0.0から10.1.1まで
対策とワークアラウンド
ネットワーク管理者は、ATSのインストールをすぐにアップグレードする必要があります。9.xブランチを使用しているユーザーは、バージョン9.1.13以降に更新してください。一方で、10.xブランチを利用している組織は、バージョン10.1.2以上のアップデートが必要です。
直ちにパッチを適用できない場合、サービス拒否脆弱性(CVE-2025-58136)に対する一時的なワークアラウンドとして、設定パラメータproxy.config.http.request_buffer_enabledを0に設定することでサーバークラッシュを防ぐことができます。これは標準セットアップでのデフォルト値です。
ただし、要求詐称脆弱性(CVE-2025-65114)に対する設定ワークアラウンドはありません。そのため、ソフトウェアのアップデートが唯一確実な保護方法となります。