Apache Trafik Sunucusu’ndaki (ATS) bir güvenlik kusuru, dünya çapında bulut servis sağlayıcılarını hedefliyor. CVE-2025-49763 olarak tanımlanan güvenlik açığı, etkilenen sistemleri sunucunun kenar tarafındaki kritik bir ACL sorununu kullanan hizmet reddi (DOS) saldırılarına maruz bırakır (ESI) eklentisi (ESI) eklentisini içerir ve saldırganların sunucu belleğini tüketmesini ve işlemleri bozar.
Apache Trafik Sunucusu, yüksek performanslı, ölçeklenebilir önbellek proxy ve trafik yönetim sistemi olarak yaygın olarak kullanılmaktadır. Yeni bildirilen Apache trafik sunucusu güvenlik açığı, web içeriğini dinamik olarak Edge’de birleştirmek için tasarlanmış bir bileşen olan ESI eklentisine odaklanır. Bu özellik, değerli olsa da, sunucunun kaç iç içe ESI isteğini takip edeceğini kontrol eden bir mekanizma olan dahil etme derinliği işleminde bir kusur içerir.
Kod çözme CVE-2025-49763 Güvenlik Açığı
Saldırganlar, ESI eklentisini yinelemeli olarak daha derin içerme katmanlarını planladıktan daha derin içerme katmanları işlemeye zorlayan kötü niyetli istekler oluşturabilirler. Bu, aşırı bellek tüketimini tetikler, sonuçta sunucunun kaynaklarını ezer ve kritik altyapıyı çevrimdışı alabilen bir DOS durumuna yol açar.
Resmi bir danışmanlıkta, Apache Software Foundation sadece bu kusuru değil, aynı zamanda Proxy Protokol İstemcisi IP adresi işlemesini etkileyen ilgili bir ACL sorununu da vurguladı. Bu kombine güvenlik açıkları, savunmasız ATS sürümlerini çalıştıran sistemler için çok yönlü bir tehdit oluşturmaktadır.
CVE-2025-49763 ve ilgili sorunların detayları
- CVE-2025-49763: ESI eklentisinde bellek tükenmesi yoluyla uzak DOS güvenlik açığı.
- Etkilenen sürümler: ATS sürümleri 9.0.0 ila 9.2.10 ve 10.0.0 ila 10.0.5.
- Muhabir: DOS kusuru güvenlik araştırmacısı Yohann Sillam tarafından bildirildi.
- İlgili ACL Sorunu: Erişim Kontrolü için Yanlış İstemci IP Adresi İşlemini içeren CVE-2025-31698, Masakazu Kitajo tarafından bildirilmiştir.
Azaltma stratejileri ve önerileri
Bu güvenlik açıklarına yanıt olarak, Apache Software Foundation derhal otomatik bir düzeltme uygulamak yerine riskleri azaltmayı amaçlayan yeni yapılandırılabilir ayarlar getiren yamalı sürümler – 9.2.11 ve 10.0.6 – yayınladı. Kullanıcılar bu sürümlere veya daha sonraki sürümlere yükseltmeye şiddetle teşvik edilir.
Anahtar azaltma adımları şunları içerir:
- ATS Yükseltme: Kuruluşlar sunucularını 9.2.11 veya 10.0.6 sürümüne güncellemelidir.
- ESI Eklentisi Sınırlarını Yapılandırma: Yeni –Max-e-derinlik 3’e temerrüde edici olan ayar, iç içe ESI’nin derinliğini sınırlar, bu da bellek tükenmesine yol açan sonsuz özyinelemeli işlemeyi etkili bir şekilde önler.
- ACL sorununa yönelik: Proxy protokolünü kullanan dağıtımlar için yöneticiler proxy.config.acl.subject hangi IP adreslerinin erişim kontrol listelerine (ACL’ler) tabi olduğunu doğru bir şekilde belirlemek için ayarlamak ip_allow.config Ve remap.config.
Adlandırılmadan bırakılırsa, CVE-2025-49763, uzak saldırganların bellek kaynaklarını tüketerek ATS sunucularını etkisiz hale getirmesine izin vererek kullanıcı deneyimini etkileyen ve potansiyel olarak finansal ve itibar hasarına neden olan hizmet kesintilerine neden olabilir.
Çözüm
Etkilenen ATS sürümlerini derhal yükselterek ve özellikle ESI eklentisi içerme derinliği ve ACL kuralları etrafında önerilen yapılandırma değişikliklerini uygulayarak, kuruluşlar yıkıcı DOS saldırılarına maruz kalmalarını azaltabilir.
ATS sürümlerini çalıştıran yöneticiler 9.0.0 ila 9.2.10 veya 10.0.0 ila 10.0.5.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.