CVE-2024-35161

Nome do software vulnerável e versões afetadas:

Apache Traffic Server, versões 8.0.0 a 8.1.10

Apache Traffic Server, versões 9.0.0 a 9.2.4

Descrição:

O problema decorre do fato de o Apache Traffic Server encaminhar seções de trailer fragmentadas HTTP malformadas para servidores de origem, o que pode ser utilizado para contrabando de solicitações e também pode levar ao envenenamento de cache se os servidores de origem estiverem vulneráveis.

Recomendações:

Para resolver o problema nas versões 8.0.0 a 8.1.10, atualize para a versão 8.1.11.

Para resolver o problema nas versões 9.0.0 a 9.2.4, atualize para a versão 9.2.5.

Como solução alternativa temporária, considere definir a nova configuração proxy.config.http.drop chunked trailers para impedir o encaminhamento da seção de trailer fragmentado.