PT-2020-5796 · Apache · Apache Traffic Server
Bryan Call
·
Publicado
2020-08-12
·
Atualizado
2021-01-15
·
CVE-2020-17509
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Apache Traffic Server, versões 6.0.0 a 6.2.3
Apache Traffic Server, versões 7.0.0 a 7.1.11
Apache Traffic Server, versões 8.0.0 a 8.1.0
Descrição:
O problema está relacionado à opção de cache negativo do ATS, que é vulnerável a um ataque de envenenamento de cache. Essa vulnerabilidade pode ser explorada por um invasor remoto para comprometer a integridade dos dados. O ataque está associado a uma falha na interpretação de solicitações HTTP.
Recomendações:
Para as versões 6.0.0 a 6.2.3 do Apache Traffic Server, atualize ou desative a opção de cache negativo do ATS para mitigar o risco.
Para as versões 7.0.0 a 7.1.11 do Apache Traffic Server, atualize ou desative a opção de cache negativo do ATS para mitigar o risco.
Para as versões 8.0.0 a 8.1.0 do Apache Traffic Server, atualize ou desative a opção de cache negativo do ATS para mitigar o risco.
Correção
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Traffic Server