TR-21-0114 (Apache ESI Eklentisi Zafiyeti)

Genel Bilgi

Apache Traffic Server ESI eklentisinde Bilgi İfşası zafiyeti tespit edilmiştir.

Etki

Lokal kullanıcı ilgili eklentiyi sömürerek hafıza okuması yaparak hassas bilgiler ele geçirilebilir. Mevcut zafiyetin siber saldırganlar tarafından istismar edilmesi sonucu Bilgi İfşası saldırısı düzenlenebilir. Zafiyete ilişkin CVE kodu şu şekildedir:

CVE-2020-17508 ve CVE-2020-17509

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM), kullanıcı ve sistem yöneticilerine zafiyetin giderilmesi için yayınlanacak güncellemeleri indirmelerini tavsiye etmektedir.

Kaynaklar

https://vigilance.fr/vulnerability/Apache-Traffic-Server-information-disclosure-via-ESI-Plugin-34046Vulnerability

https://vigilance.fr/vulnerability/Apache-Traffic-Server-information-disclosure-via-Negative-Cache-Poisoning-34047Vulnerability

https://vigilance.fr/vulnerability/Apache-Traffic-Server-information-disclosure-via-ESI-Plugin-34046

2021-02-08