Date de divulgation : 13 novembre 2024
Date d'ajout à la CISA KEV : N/A
La fondation Apache Software a publié des mises à jour de sécurité mises à jour de sécurité critiques pour Apache Traffic Server, qui corrigent trois vulnérabilités susceptibles d'exposer les utilisateurs à diverses cybermenaces. Ces failles, qui affectent les versions 8.0.0 à 8.1.11, 9.0.0 à 9.2.5 et 10.0.0 à 10.0.1, comportent des risques tels que l'empoisonnement du cache, le blocage de l'application et l'élévation potentielle des privilèges.
CVE-2024-38479 implique une mauvaise validation des entrées dans le plugin de clé de cache d'Apache Traffic Server, permettant des attaques potentielles d'empoisonnement de cache. Un attaquant pourrait manipuler le comportement du cache en fabriquant des entrées spécifiques, ce qui entraînerait une livraison de contenu incorrecte ou une fuite de données.
CVE-2024-50305 est une vulnérabilité de type déni de service dans Apache Traffic Server, qui permet à un champ d'en-tête Host élaboré de faire planter l'application sur certaines plates-formes, permettant potentiellement à des attaquants de perturber la disponibilité du serveur.
CVE-2024-50306 provient d'une valeur de retour non vérifiée lors du processus de démarrage d'Apache Traffic Server, ce qui pourrait permettre au serveur de conserver involontairement des privilèges élevés.
Dans les déploiements habituels, Apache Traffic Server est accessible au public pour faciliter la diffusion de contenu. Cependant, cette exposition peut augmenter sa surface d'attaque, en particulier si les configurations sont incorrectes, si les versions sont obsolètes ou si les contrôles d'accès sont insuffisants. Pour atténuer les risques de sécurité potentiels, il est essentiel de mettre régulièrement à jour le serveur et de mettre en œuvre des contrôles d'accès robustes pour sécuriser ses interfaces de gestion et de données.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-38479 - CVSS 7.5 (élevé) attribué par CISA-ADP |
CVE-2024-50305 - CVSS 7.5 (élevé) attribué par CISA-ADP |
CVE-2024-50306 - CVSS 9.1 (Critique) attribué par CISA-ADP |
| Description de la vulnérabilité |
Vulnérabilité de validation d'entrée incorrecte dans le serveur Apache Traffic. |
Le champ d'en-tête Host valide peut entraîner le plantage d'Apache Traffic Server sur certaines plates-formes. |
Une valeur de retour non vérifiée peut permettre à Apache Traffic Server de conserver des privilèges au démarrage. |
| Date de la divulgation |
13 novembre 2024 |
| Actifs touchés |
Serveur de trafic Apache |
| Versions de logiciels vulnérables |
- 8.0.0 - 8.1.11 ( CVE-2024-38479 )
- 9.0.0 - 9.2.5 ( CVE-2024-38479, CVE-2024-50305, CVE-2024-50306 )
- 10.0.0 - 10.0.1 ( CVE-2024-50306 )
|
| PoC disponible ? |
Aucun PoC n'est disponible au moment de la rédaction. |
| Statut d'exploitation |
Au moment de la rédaction du présent document, aucun de ces CVE n'a été publié dans la liste de la CISA des vulnérabilités connues et exploitées, ni observé dans GreyNoise. |
| Statut du patch |
La fondation Apache Software Foundation a demandé aux utilisateurs de mettre à jour leur système vers la version 9.2.6 ou 10.0.2 en fonction de votre version actuelle. |
Censys Perspective
Au moment de la rédaction du présent document, Censys observait 7,623 instances d'Apache Traffic Server exposées en ligne. Une grande partie d'entre elles (79%) sont géolocalisées en Chine. Censys a observé environ 76% des instances exposées sont associées à China Telecom (ASN 4134), l'une des plus grandes entreprises de télécommunications en Chine. Il convient de noter que toutes ces instances ne sont pas nécessairement vulnérables, car les versions spécifiques ne sont pas toujours disponibles.
Carte des instances d'Apache Traffic Server exposées :
Censys Requête de recherche :
services.software: (vendor="Apache" and product="Traffic Server")
Censys Requête ASM :
host.services.software.vendor = "Apache" and host.services.software.product= "Traffic Server"
Références
