Apache Traffic Control 重要漏洞修复

关键要点

• Apache 发布了针对 Traffic Ops 组件的 9.9 级别严重漏洞的修补程序。
• 漏洞允许具有特权角色的攻击者通过特制的 PUT 请求注入恶意 SQL 命令。
• 攻击者可以通过操控数据库相关的输入字段，执行危害整个数据库的 SQL 查询。
• 此漏洞对内容分发网络 (CDN) 的安全性构成重大威胁，建议用户立即更新以防止 SQL 攻击。

在 12 月 23 日，Apache 的维护者发布了针对 Apache Traffic Control 版本 8.0.0 和 8.0.1 的 TrafficOps组件的关键性漏洞修补程序。该漏洞编号为，允许具有“管理员”或“操作员”等特权角色的攻击者通过精心构造的
PUT 请求注入恶意的 SQL 命令。

通过操控与数据库交互的输入字段，攻击者能够执行潜在的 SQL 查询，这可能会破坏整个数据库的安全性。

Apache Traffic Control是一个开源平台，用于协调网络内容的分发。它的目标是控制流量流动，优化交付路径，并确保多个服务器之间高效的内容缓存。

安全专家对这一漏洞给予高度重视，因为 Apache Traffic Control 在管理网络内容和数据中的重要性不言而喻。JasonSoroko，Sectigo 的高级研究员表示：“利用这个漏洞可能导致未授权的数据访问、修改或删除，从而严重影响 Apache TrafficControl 管理的内容分发网络 (CDN) 服务的完整性和可用性。立即更新以保护系统免受 SQL 攻击，并确保 CDN 操作的安全性是至关重要的。”

Dispersive 的副总裁 Lawrence Pingree 补充道这一黑客攻击方式展示了一种让攻击者直接访问 SQL 数据库的方法。他表示，这类似于
SQL 注入攻击，使攻击者能够直接通过查询数据库来提取数据。

“因此，如果一个网站使用了 Apache Traffic Control，攻击者可能会入侵数据库中的数据并下载所有数据，”Pingree
喷说。“最终，角色要求限制了可能的影响范围，因为攻击者需要突破用户的凭证才能利用该漏洞。”

漏洞信息 | 详情
—|—
漏洞级别 | 9.9
受影响版本 | Apache Traffic Control 8.0.0 和 8.0.1
漏洞编号 |
建议措施 | 立即更新至最新版本

如需了解更多信息，您可以访问 以获取最新修补程序和安全更新。