Το Ίδρυμα Λογισμικού Apache ανακοίνωσε πρόσφατα την κυκλοφορία ενημερώσεων ασφαλείας έκτακτης ανάγκης, οι οποίες αποσκοπούν στην αντιμετώπιση δύο σοβαρών ευπαθειών στον Διακομιστή Κυκλοφορίας του Apache (ATS). Αυτές οι ευπάθειες, εάν αφεθούν χωρίς επιδιόρθωση, ενδέχεται να θέσουν σε κίνδυνο την ασφάλεια δικτυακών υποδομών και να επιτρέψουν στους κακόβουλους χρήστες να εκτελέσουν επιθέσεις άρνησης υπηρεσίας (DoS).
Ευπάθειες Διακομιστή Κυκλοφορίας Apache
Το ATS, το οποίο λειτουργεί ως μια κρυφή μνήμη web proxy υψηλής απόδοσης, ενισχύει την αποτελεσματικότητα του δικτύου και είναι ικανό να διαχειρίζεται τεράστιους όγκους κίνησης ιστού. Ωστόσο, οι πρόσφατα ανακαλυφθείσες ευπάθειες στον τρόπο που ο διακομιστής επεξεργάζεται αιτήματα HTTP με σώματα μηνυμάτων είναι ανησυχητικές.
Πρώτη Ευπάθεια: CVE-2025-58136
Η πιο κρίσιμη ευπάθεια παρακολουθείται ως CVE-2025-58136. Ο ερευνητής ασφαλείας Masakazu Kitajo διαπίστωσε ότι μπορεί να προκληθεί κατάρρευση του ATS από ένα νόμιμο αίτημα HTTP POST. Οι επιτιθέμενοι μπορούν εύκολα να εκμεταλλευτούν αυτή την ευπάθεια, οδηγώντας σε άμεσες επιθέσεις άρνησης υπηρεσίας, εμποδίζοντας την πρόσβαση σε όλους τους νόμιμους χρήστες.
Δεύτερη Ευπάθεια: CVE-2025-65114
Η δεύτερη ευπάθεια, που ανιχνεύθηκε από τον Katsutoshi Ikenoya, ονομάζεται CVE-2025-65114. Αυτή η ευπάθεια σχετίζεται με την κακή επεξεργασία κακώς τεμαχισμένων σωμάτων μηνυμάτων. Εδώ, οι επιτιθέμενοι μπορούν να εκμεταλλευτούν την κατάσταση για να εκτελέσουν επιθέσεις λαθρεμπορίας αιτημάτων HTTP, παρακάμπτοντας τους ελέγχους ασφαλείας και αποκτώντας μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα.
Επιπτώσεις και Συνιστώμενες Ενέργειες
Οι παραπάνω ευπάθειες επηρεάζουν ποικιλία εκδόσεων του ATS, συγκεκριμένα τις εκδόσεις 9.0.0 έως 9.2.12 και 10.0.0 έως 10.1.1. Οι διαχειριστές αυτών των εκδόσεων θα πρέπει να λάβουν άμεσα μέτρα για να προστατεύσουν τα δίκτυά τους από αυτές τις απειλές:
- Αναβάθμιση στην έκδοση 9.1.13 ή νεότερη για τον κλάδο 9.x.
- Αναβάθμιση στην έκδοση 10.1.2 ή νεότερη για τον κλάδο 10.x.
Η συνιστώμενη πρακτική από το Ίδρυμα Λογισμικού Apache υπογραμμίζει την ανάγκη για άμεσες αναβαθμίσεις στις πιο ασφαλείς εκδόσεις.
Προσωρινές Λύσεις
Για τις ομάδες που δεν μπορούν να εφαρμόσουν άμεσα τις ενημερώσεις, υπάρχει μια προσωρινή λύση για την ευπάθεια DoS (CVE-2025-58136). Οι διαχειριστές μπορούν να σταματήσουν τη συντριβή ρυθμίζοντας το proxy.config.http.request_buffer_enabled σε 0, το οποίο είναι η προεπιλεγμένη τιμή στη διαμόρφωση του συστήματος. Αυτή η ρύθμιση μπορεί να προσφέρει έναν κάποιο βαθμό προστασίας.
Ωστόσο, δεν υπάρχει καμία προσωρινή λύση διαθέσιμη για την ευπάθεια λαθρεμπορίας αιτημάτων (CVE-2025-65114). Επομένως, η πληρότητα των αναβαθμίσεων παραμένει η μόνη αξιόπιστη στρατηγική για την προστασία των περιβαλλόντων που επηρεάζονται.
Είναι αναγκαίο οι οργανισμοί να διατηρούν ενημερωμένες τις υποδομές τους ώστε να διασφαλίζουν την υψηλότερη δυνατή ασφάλεια έναντι των εξελισσόμενων απειλών στον κυβερνοχώρο.