Bryan Call

Nome do software vulnerável e versões afetadas: Apache Traffic Server, versões 8.0.0 a 8.1.11 Apache Traffic Server, versões 9.0.0 a 9.2.5 Descrição: O problema está relacionado a uma validação inadequada de entradas, o que pode permitir que um invasor remoto execute um ataque de envenenamento de cache. Isso ocorre devido a uma verificação insuficiente dos dados de entrada. Recomendações: Para as versões 8.0.0 a 8.1.11, atualize para a versão 9.2.6 ou 10.0.2 para corrigir o problema. Para as versões 9.0.0 a 9.2.5, atualize para a versão 9.2.6 ou 10.0.2 para corrigir o problema.

**Nome do software vulnerável e versões afetadas: Apache Traffic Server, versões 6.0.0 a 6.2.3 Apache Traffic Server, versões 7.0.0 a 7.1.11 Apache Traffic Server, versões 8.0.0 a 8.1.0 Descrição: O problema está relacionado à opção de cache negativo do ATS, que é vulnerável a um ataque de envenenamento de cache. Essa vulnerabilidade pode ser explorada por um invasor remoto para comprometer a integridade dos dados. O ataque está associado a uma falha na interpretação de solicitações HTTP. Recomendações: Para as versões 6.0.0 a 6.2.3 do Apache Traffic Server, atualize ou desative a opção de cache negativo do ATS para mitigar o risco. Para as versões 7.0.0 a 7.1.11 do Apache Traffic Server, atualize ou desative a opção de cache negativo do ATS para mitigar o risco. Para as versões 8.0.0 a 8.1.0 do Apache Traffic Server, atualize ou desative a opção de cache negativo do ATS para mitigar o risco.

**Nome do software vulnerável e versões afetadas** Apache Traffic Server, versões 6.0.0 a 6.2.3 Apache Traffic Server, versões 7.0.0 a 7.1.10 Apache Traffic Server, versões 8.0.0 a 8.0.7 **Descrição** O problema está relacionado a um estouro de limite de dados do buffer no Apache Traffic Server, que pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade pode ser acionada por certos tipos de quadros HTTP/2 HEADERS, levando à alocação excessiva de memória e ao giro de threads. **Recomendações** Para as versões 6.0.0 a 6.2.3 do Apache Traffic Server, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 7.0.0 a 7.1.10 do Apache Traffic Server, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 8.0.0 a 8.0.7 do Apache Traffic Server, atualize para uma versão fora desse intervalo para resolver o problema. Como solução alternativa temporária, considere restringir o tratamento de quadros HTTP/2 HEADERS para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: Apache Traffic Server (ATS) versions 6.2.0 and prior Apache Traffic Server (ATS) versions 7.0.0 and prior Description: The issue arises from the handling of the Host header and line folding, potentially causing problems when interacting with upstream proxies, leading to the wrong host being used. Recommendations: For Apache Traffic Server (ATS) versions 6.2.0 and prior, update to a version that addresses the Host header and line folding issue. For Apache Traffic Server (ATS) versions 7.0.0 and prior, update to a version that addresses the Host header and line folding issue.