Vulnerabilidad en Apache Traffic Server (CVE-2018-8005)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
29/08/2018
Última modificación:
07/11/2023
Descripción
Cuando hay múltiples rangos en una petición de rango, Apache Traffic Server (ATS) leerá el objeto completo desde la caché. Esto puede provocar problemas de rendimiento con objetos grandes en la caché. Esto afecta a las versiones desde la 6.0.0 hasta la 6.2.2 y desde la versión 7.0.0 hasta la 7.1.3. Para resolver este problema, los usuarios que ejecutan las versiones 6.x deberían actualizar a la versión 6.2.3 o siguientes; mientras que los usuarios de versiones 7.x deberían actualizar a la versión 7.1.4 o siguientes.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:traffic_server:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.2.2 (incluyendo) |
| cpe:2.3:a:apache:traffic_server:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.1.3 (incluyendo) |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/105187
- https://github.com/apache/trafficserver/pull/3106
- https://github.com/apache/trafficserver/pull/3124
- https://lists.apache.org/thread.html/55d225af92887bfed0194400fd1b718622cca4140fc7318d982e25ca%40%3Cusers.trafficserver.apache.org%3E
- https://www.debian.org/security/2018/dsa-4282