Apache Traffic Server – Malformed Requests und ACL-Probleme

Am 5. März 2025 wurde im Apache Traffic Server-Entwicklerforum berichtet, dass ATS (Apache Traffic Server) anfällig für fehlerhaft formatierte Anfragen sowie für Probleme mit Access Control Lists (ACL) ist. Der Apache Traffic Server ist ein weitverbreitetes Caching System auf Open Source Basis. Konkret wurden vier CVEs identifiziert:

  • CVE-2024-38311: Ermöglicht Request Smuggling via Pipelining nach einem chunked Message Body
  • CVE-2024-56195: Intercept-Plugins sind nicht ordnungsgemäß access controlled
  • CVE-2024-56196: ACL ist nicht vollständig kompatibel mit älteren Versionen
  • CVE-2024-56202: Der Expect-Header kann unangemessen Ressourcen blockieren

Betroffen sind ATS-Versionen 9.0.0 bis 9.2.8 (CVE-2024-38311, CVE-2024-56195, CVE-2024-56202) sowie Versionen 10.0.0 bis 10.0.3 (zusätzlich CVE-2024-56196). Als Gegenmaßnahme empfiehlt die Apache Software Foundation:

  • 9.x Benutzer: Upgrade auf Version 9.2.9 oder später
  • 10.x Benutzer: Upgrade auf Version 10.0.4 oder später

Related Posts

GitLabs Patch Release 17.9.1, 17.8.4, 17.7.6 fixen XSS Schwachstellen

GitLab hat am 26.02.25 neue Patch-Releases für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht. Mit den Versionen 17.9.1, 17.8.4 und 17.7.6 behebt GitLab mehrere kritische Sicherheitslücken und diverse Bugs, die in zahlreichen Installationen entdeckt wurden.

Read More

Potentielle Backdoor in ESP32-Chip betrifft Millionen IoT-Geräte

Das Tarlogic Innovation Team hat auf der RootedCON beichtet, dass im weit verbreiteten ESP32-Chip des chinesischen Herstellers Espressif, der in Millionen von IoT-Geräten für WiFi- und Bluetooth-Konnektivität eingesetzt wird, wurde eine bisher unbekannte Funktionalität gefunden. Diese versteckten, herstellerseitig nicht dokumentierten Befehle könnten als „Backdoor“ genutzt werden – oder, wie in einem späteren Update präziser formuliert, als proprietäre HCI-Befehle, die das System modifizieren können.

Read More

Sicherheitslücken in OpenSSH entdeckt: MitM-Angriff und DoS-Angriffe möglich

Ein Sicherheitsbericht von Qualys vom 18.02.2025 hat zwei schwerwiegende Schwachstellen in OpenSSH ans Licht gebracht, die das Risiko von Man-in-the-Middle-Angriffen (MitM) sowie Denial-of-Service (DoS) Attacken erhöhen.

Read More