Vulnérabilités dans Apache Traffic Server (ATS)

CVE-2021-37147  CVE-2021-37148 CVE-2021-37149[Score CVSS v3.1: 7.3 / 7.3 / 7.3]

Les informaticiens Mattias Grenfeldt et Asta Olofsson ont identifié trois vulnérabilités du type « injection de commande » dans le serveur proxy Apache Traffic Server (ATS). Ce serveur proxy est un dispositif d’optimisation du réseau qui peut, entre autres, améliorer les performances du trafic via une mémorisation des données fréquemment traitées.

Les deux informaticiens ont remarqué que ce serveur proxy était vulnérable à la contrebande de requêtes http. En effet, lorsque deux utilisateurs envoient des requêtes http au serveur, le traitement en premier plan (frontend) et celui en arrière-plan (backend) interprètent différemment la limite de ces requêtes. Il est possible d’exploiter cette différence pour qu’une requête http malveillante d’un utilisateur soit injectée à la requête d’un autre utilisateur.

Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en utilisant des requêtes http malveillantes dissimulées dans des requêtes légitimes, afin d’élever ses privilèges ou de s’octroyer un accès non-autorisé à des données sensibles. Ces trois vulnérabilités ne semblent pas être exploitées pour le moment.