Błąd w Apache Traffic Server polegający na ignorowaniu wartości zwracanej przez funkcję (CWE-252) pozwala procesowi serwera zachować podwyższone uprawnienia po uruchomieniu. Jest to krytyczna podatność, ponieważ serwer działający z niezamierzonymi uprawnieniami stwarza ryzyko naruszenia integralności systemu i jego dostępności bez konieczności uwierzytelnienia.
▸ Pokaż oryginał (EN)
Unchecked return value can allow Apache Traffic Server to retain privileges on startup. This issue affects Apache Traffic Server: from 9.2.0 through 9.2.5, from 10.0.0 through 10.0.1. Users are recommended to upgrade to version 9.2.6 or 10.0.2, which fixes the issue.
Podczas startu Apache Traffic Server powinien obniżyć swoje uprawnienia (privilege drop) do poziomu zwykłego użytkownika. Na skutek niezweryfikowania wartości zwracanej przez odpowiednią funkcję systemową, operacja ta może zakończyć się niepowodzeniem bez wykrycia błędu przez aplikację. W rezultacie proces serwera kontynuuje działanie z zachowanymi, podwyższonymi uprawnieniami zamiast ograniczonymi. Atakujący mogący wpłynąć na działanie serwera może w konsekwencji uzyskać szerszy dostęp do systemu.
Atakujący może wykorzystać fakt działania serwera z podwyższonymi uprawnieniami do modyfikowania krytycznych zasobów systemowych (naruszenie integralności) lub zakłócenia jego działania (naruszenie dostępności). Wektor sieciowy bez wymogu uwierzytelnienia zwiększa ryzyko zdalnego wykorzystania podatności.
Należy zaktualizować Apache Traffic Server do wersji 9.2.6 (dla gałęzi 9.x) lub 10.0.2 (dla gałęzi 10.x), które zawierają poprawkę eliminującą podatność.
Apache Traffic Server w wersjach od 9.2.0 do 9.2.5 oraz od 10.0.0 do 10.0.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:HApache Traffic Server
APPApache9.0.0 – 9.2.6 (bez)10.0.0 – 10.0.2 (bez)
Powiązane podatności
Improper Input Validation vulnerability in Apache Software Foundation Apache Traffic Server.This issue affects...
Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') vulnerability in the stats-over-http pl...
Stack-based Buffer Overflow vulnerability in cachekey plugin of Apache Traffic Server. This issue affects Apac...
There is a vulnerability in Apache Traffic Server 6.0.0 to 6.2.3, 7.0.0 to 7.1.8, and 8.0.0 to 8.0.5 with a sm...
There is a vulnerability in Apache Traffic Server 6.0.0 to 6.2.3, 7.0.0 to 7.1.8, and 8.0.0 to 8.0.5 with a sm...