Фонд Apache Software Foundation выпустил экстренные обновления безопасности для устранения двух опасных уязвимостей в своем высокопроизводительном прокси-сервере и системе кеширования - Apache Traffic Server (ATS). Объявленные 2 апреля 2026 года, эти недостатки позволяют удаленным злоумышленникам либо вызвать состояние отказа в обслуживании (Denial-of-Service, DoS), либо провести атаку, известную как "подмена HTTP-запросов" (HTTP request smuggling). Обе проблемы коренятся в том, как сервер обрабатывает HTTP-запросы, содержащие данные в теле. Для корпоративных сред, где ATS часто используется для ускорения и защиты веб-трафика, эти уязвимости представляют собой серьезную угрозу стабильности и безопасности.
Детали уязвимостей
Исследователи в области информационной безопасности Масакадзу Китаджо и Кацутоши Икеноя обнаружили два различных сценария эксплуатации. Первая уязвимость, получившая идентификатор CVE-2025-58136, является классическим вектором для атаки на доступность. Злоумышленник может вызвать аварийное завершение работы сервера, отправив на него легитимный POST-запрос. Поскольку для эксплуатации не требуется специальная аутентификация или сложные условия, эта ошибка представляет собой серьезный риск для бизнес-процессов. Вредоносные акторы могут легко использовать её для дестабилизации корпоративных сетей и вывода критически важных приложений из строя, что ведет к прямым финансовым потерям и репутационным издержкам.
Вторая проблема, зарегистрированная как CVE-2025-65114, гораздо более коварна с точки зрения потенциального ущерба. Это уязвимость, приводящая к подмене HTTP-запросов, вызванная некорректной обработкой специально сформированных частей сообщений (chunked message bodies). Данная техника атаки считается высокоопасной, так как позволяет злоумышленнику манипулировать способом, которым разные компоненты инфраструктуры (например, фронтенд-прокси и бэкенд-сервер) интерпретируют границы между последовательными HTTP-запросами. На практике это может позволить обходить механизмы безопасности, такие как WAF (Web Application Firewall, межсетевой экран веб-приложений), отравлять кеш веб-сервера устаревшим или вредоносным контентом, а также перехватывать конфиденциальные данные других пользователей, подключенных к тому же серверу. Таким образом, одна эта уязвимость открывает путь к целому спектру компрометирующих действий, от дефейса сайтов до хищения сессионных данных.
Учитывая популярность Apache Traffic Server в высоконагруженных и чувствительных к производительности средах, своевременное устранение этих угроз становится приоритетной задачей для администраторов. Затронутыми являются версии программного обеспечения из ветки ATS 9.x (с 9.0.0 по 9.2.12 включительно) и ветки ATS 10.x (с 10.0.0 по 10.1.1 включительно). Для защиты инфраструктуры руководство фонда Apache настоятельно рекомендует немедленно обновить установки. Пользователям ветки 9.x следует перейти на версию 9.1.13 или новее, а тем, кто использует ветку 10.x, необходимо обновиться до версии 10.1.2 или позднее. Только эти версии содержат исправления для обеих уязвимостей.
Однако, понимая, что моментальный патчинг в производственной среде не всегда возможен, разработчики предоставили временное решение для уязвимости, приводящей к отказу в обслуживании (CVE-2025-58136). Администраторы могут предотвратить сбой сервера, установив параметр конфигурации "proxy.config.http.request_buffer_enabled" в значение "0". Примечательно, что это значение является стандартным в большинстве типовых настроек ATS, что может снизить актуальность данной угрозы для многих развертываний. Между тем, для уязвимости подмены запросов (CVE-2025-65114) подобного обходного пути через конфигурацию не существует. Это подчеркивает ее особую критичность и делает обновление программного обеспечения единственным надежным способом полного устранения риска. В свою очередь, организациям, которые пока не могут провести обновление, следует усилить мониторинг необычной активности, связанной с обработкой HTTP-трафика, и рассмотреть возможность применения дополнительных средств контроля на периметре сети.
Ссылки
- https://lists.apache.org/thread/2s11roxlv1j8ph6q52rqo1klvl01n14q
- https://www.cve.org/CVERecord?id=CVE-2025-58136
- https://www.cve.org/CVERecord?id=CVE-2025-65114
