Nghiêm trọng: Lỗ hổng Apache Traffic Server đòi hỏi bản vá khẩn cấp
Apache Software Foundation đã công bố các bản cập nhật bảo mật khẩn cấp nhằm khắc phục hai CVE nghiêm trọng trong Apache Traffic Server (ATS). Các lỗ hổng này có thể bị khai thác từ xa, dẫn đến điều kiện Denial-of-Service (DoS) hoặc các cuộc tấn công HTTP request smuggling phức tạp vào các mạng doanh nghiệp. Việc hiểu rõ về các lỗ hổng Apache Traffic Server này là cực kỳ quan trọng để đảm bảo an toàn.
Giới thiệu về Apache Traffic Server (ATS)
Apache Traffic Server (ATS) là một proxy cache web hiệu suất cao. Hệ thống này được thiết kế để cải thiện hiệu quả mạng và xử lý lưu lượng truy cập web khổng lồ của doanh nghiệp. ATS đóng vai trò quan trọng trong việc tối ưu hóa hiệu suất và khả năng mở rộng của các ứng dụng web.
Phân tích các cảnh báo CVE nghiêm trọng
Hai lỗ hổng mới được phát hiện liên quan đến cách ATS xử lý các yêu cầu HTTP có phần thân thông điệp (message bodies). Nếu không được vá kịp thời, chúng có thể bị kẻ tấn công từ xa khai thác. Việc khắc phục các lỗ hổng Apache Traffic Server này là ưu tiên hàng đầu.
CVE-2025-58136: Lỗ hổng Denial-of-Service (DoS)
Lỗ hổng nghiêm trọng nhất được theo dõi dưới mã định danh CVE-2025-58136. Nhà nghiên cứu bảo mật Masakazu Kitajo đã phát hiện ra rằng một yêu cầu HTTP POST hợp lệ và đơn giản có thể khiến toàn bộ ứng dụng ATS gặp sự cố và dừng hoạt động.
Do các yêu cầu POST là phương thức tiêu chuẩn để gửi dữ liệu lên máy chủ web, lỗ hổng này rất dễ bị kẻ tấn công từ xa khai thác. Khi bị khai thác, sự cố này dẫn đến một cuộc tấn công Denial-of-Service (DoS) tức thì, làm ngừng hoạt động máy chủ proxy và chặn quyền truy cập của tất cả người dùng hợp pháp.
CVE-2025-65114: Lỗ hổng HTTP Request Smuggling
Lỗ hổng thứ hai, được định danh là CVE-2025-65114, được phát hiện bởi nhà nghiên cứu bảo mật Katsutoshi Ikenoya. Lỗ hổng này tập trung vào cách Apache Traffic Server xử lý các phần thân thông điệp được mã hóa dạng chunked bị định dạng sai (malformed chunked message bodies) trong quá trình truyền dữ liệu.
Kẻ tấn công có thể khai thác cách xử lý không đúng này để thực hiện tấn công HTTP request smuggling. Đây là một kỹ thuật tấn công nâng cao, cho phép kẻ tấn công thao túng quá trình xử lý chuỗi yêu cầu HTTP. Mục tiêu là bỏ qua các biện pháp kiểm soát bảo mật, làm nhiễm độc bộ nhớ đệm web (poison web caches) hoặc giành quyền truy cập trái phép vào dữ liệu nhạy cảm trên các máy chủ hạ nguồn. Đây là một lỗ hổng Apache Traffic Server cần được ưu tiên khắc phục.
Các phiên bản bị ảnh hưởng và khuyến nghị nâng cấp
Các lỗ hổng này ảnh hưởng đến nhiều nhánh đang hoạt động của Apache Traffic Server. Theo thông báo bảo mật chính thức của Apache, phần mềm bị ảnh hưởng bao gồm các phiên bản ATS từ 9.0.0 đến 9.2.12, cũng như các phiên bản từ 10.0.0 đến 10.1.1.
Các quản trị viên đang quản lý các phiên bản cụ thể này phải hành động ngay lập tức để bảo mật môi trường mạng của họ khỏi các nguy cơ khai thác tiềm ẩn từ lỗ hổng Apache Traffic Server.
Apache Software Foundation khuyến nghị mạnh mẽ rằng tất cả quản trị viên nâng cấp hệ thống của họ lên các bản phát hành an toàn mới nhất. Người dùng đang vận hành trên nhánh 9.x nên cập nhật lên phiên bản 9.1.13 hoặc mới hơn. Trong khi đó, các tổ chức sử dụng nhánh 10.x phải nâng cấp lên phiên bản 10.1.2 hoặc mới hơn để loại bỏ hoàn toàn mối đe dọa.
Để biết thêm chi tiết về khuyến nghị này, vui lòng tham khảo thông báo bảo mật chính thức của Apache.
Biện pháp khắc phục tạm thời và hạn chế
Đối với các nhóm không thể áp dụng ngay lập tức các bản cập nhật phần mềm, một biện pháp khắc phục tạm thời tồn tại cho lỗ hổng DoS (CVE-2025-58136). Quản trị viên có thể ngăn chặn sự cố bằng cách đặt tham số proxy.config.http.request_buffer_enabled thành 0.
Điều đáng mừng là đây vốn dĩ đã là giá trị mặc định trong cấu hình hệ thống. Điều này có nghĩa là nhiều máy chủ có thể đã được bảo vệ khỏi sự cố này.
# Cấu hình mẫu cho proxy.config.http.request_buffer_enabledproxy.config.http.request_buffer_enabled 0Tuy nhiên, hoàn toàn không có biện pháp khắc phục tạm thời nào cho lỗ hổng request smuggling (CVE-2025-65114). Do đó, nâng cấp phần mềm đầy đủ vẫn là chiến lược hiệu quả duy nhất để bảo mật môi trường máy chủ chống lại cả hai lỗ hổng Apache Traffic Server này. Việc áp dụng các bản vá bảo mật là cần thiết.
