Atualizações de emergência do Apache Software Foundation
O Apache Software Foundation lançou atualizações de segurança emergenciais para abordar duas vulnerabilidades graves no Apache Traffic Server (ATS). O ATS opera como um cache de proxy web de alto desempenho que melhora a eficiência da rede e lida com volumes massivos de tráfego web empresarial.
Essas falhas recém-descobertas decorrem de como o servidor processa solicitações HTTP com corpos de mensagem. Se não corrigidas, atacantes remotos podem explorar essas fraquezas para acionar condições de Denial-of-Service (DoS) ou executar ataques complexos de request smuggling HTTP contra redes empresariais.
Análise técnica das falhas CVE-2025-58136 e CVE-2025-65114
A falha mais disruptiva é rastreada como CVE-2025-58136. O pesquisador de segurança Masakazu Kitajo descobriu que uma simples solicitação HTTP POST legítima pode fazer com que toda a aplicação ATS falhe.
Porque solicitações POST são métodos padrão para enviar dados a um servidor web, essa vulnerabilidade é altamente acessível a atacantes remotos. Quando explorada, a falha resulta em um ataque imediato de Denial-of-Service, derrubando o servidor proxy e bloqueando o acesso para todos os usuários legítimos que dependem dessa infraestrutura.
A segunda vulnerabilidade, designada como CVE-2025-65114, foi identificada pelo pesquisador de segurança Katsutoshi Ikenoya. Essa falha centra-se em como o Apache Traffic Server lida com corpos de mensagem chunked malformados durante a transmissão de dados. Atacantes podem explorar esse tratamento inadequado para alcançar request smuggling HTTP.
Essa técnica de ataque avançada permite que atores maliciosos manipulem o processamento de sequências de solicitações HTTP, contornando controles de segurança para envenenar caches web ou obter acesso não autorizado a dados sensíveis em servidores downstream.
Impacto e alcance das versões afetadas
Essas vulnerabilidades impactam múltiplas branches ativas do Apache Traffic Server. De acordo com o advisory de segurança oficial, o software afetado inclui versões ATS 9.0.0 a 9.2.12, bem como versões 10.0.0 a 10.1.1.
Administradores gerenciando essas versões específicas devem tomar ação imediata para proteger seus ambientes de rede contra exploração potencial.
Medidas de mitigação e correção
O Apache Software Foundation recomenda fortemente que todos os administradores atualizem suas instalações para as versões seguras mais recentes.
- Usuários operando na branch 9.x devem atualizar para a versão 9.1.13 ou posterior.
- Organizações utilizando a branch 10.x devem atualizar para a versão 10.1.2 ou mais recente para eliminar completamente a ameaça.
Para equipes que não podem aplicar as atualizações de software imediatamente, existe uma solução temporária para a vulnerabilidade DoS (CVE-2025-58136). Administradores podem parar a falha definindo o parâmetro proxy.config.http.request_buffer_enabled para 0. Felizmente, esse já é o valor padrão na configuração do sistema, o que significa que muitos servidores podem já estar protegidos contra a falha.
No entanto, não há absolutamente nenhuma solução disponível para a vulnerabilidade de request smuggling (CVE-2025-65114). Consequentemente, uma atualização completa de software permanece a única estratégia eficaz para proteger o ambiente do servidor contra ambas as ameaças.