CVE-2020-17522

**Nome do software vulnerável e versões afetadas:

Apache Traffic Control, versões 3.0.0 a 3.1.0

Apache Traffic Control, versões 4.0.0 a 4.1.0

Descrição:

O problema ocorre quando o ORT (agora por meio do atstccfg) gera arquivos ip allow.config, incluindo permissões que permitem que agentes mal-intencionados insiram e removam conteúdo arbitrário dos servidores de cache da CDN. Essas permissões também podem ser estendidas a endereços IP fora do intervalo desejado, potencialmente concedendo-as a clientes fora da arquitetura CDN.

Recomendações:

Para as versões 3.0.0 a 3.1.0, considere restringir o acesso aos arquivos ip allow.config para impedir modificações não autorizadas.

Para as versões 4.0.0 a 4.1.0, considere implementar medidas de segurança adicionais para limitar as permissões concedidas a endereços IP, garantindo que estejam dentro do intervalo desejado.

Como solução alternativa temporária, considere desativar a geração de arquivos ip allow.config via atstccfg até que um patch esteja disponível.