Vulnérabilité sur Apache Traffic Server

Une vulnérabilité a été découverte dans Apache Traffic Server, un serveur mandataire inverse et de redirection. Elle peut permettre à un attaquant de provoquer un déni de service.

CVE-2020-9494 [Score CVSS v3 : 7.5] : Une vulnérabilité pouvant conduire à un déni de service a été découverte dans Apache Traffic Server. Un attaquant peut exploiter cette vulnérabilité en utilisant des entêtes HTTP/2 spécialement conçues.

Informations
+

Risques

  • Déni de service

Criticité

  • Score CVSS v3 : 7.5

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible à ce jour

Composants vulnérables

  • Apache Traffic Server 6.0.0 à 6.2.3

  • Apache Traffic Server 7.0.0 à 7.1.10

  • Apache Traffic Server 8.0.0 à 8.0.7

CVE

  • CVE-2020-9494


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Apache Traffic Server vers une version non vulnérable (7.1.11 ou 8.0.8 ou supérieure)

Solution de contournement

  • Aucune solution de contournement n’est disponible