Apache ATS爆2個高危漏洞：一個POST請求就能讓服務器

Apache Traffic Server（簡稱ATS，一款高性能Web代理緩存服務器）的用戶群昨天收到了一份不太愉快的"補丁日禮物"。Apache軟件基金會緊急推送安全更新，修復了兩個足以讓運維團隊徹夜難眠的漏洞——其中一個只需要一個最普通的POST請求，就能讓整個代理服務器當場崩潰。

這不是什么邊緣場景的奇技淫巧。POST請求是網頁表單提交、文件上傳、登錄驗證的基礎操作，每天在互聯網上流轉數十億次。攻擊者甚至不需要構造惡意載荷，一個"合法但致命"的請求就能觸發拒絕服務（DoS）。

CVE-2025-58136：一個POST請求引發的慘案

安全研究員Masakazu Kitajo發現的這個漏洞，堪稱"極簡主義攻擊"的典范。ATS在處理帶消息體的HTTP請求時存在缺陷，而POST請求恰好屬于這一類別。

攻擊流程簡單到離譜：遠程發送POST請求→ATS處理消息體時崩潰→代理服務器宕機→所有依賴該基礎設施的合法用戶被斷網。整個過程不需要認證、不需要復雜構造、不需要社工配合。

企業級代理緩存一旦癱瘓，影響范圍會被快速放大。ATS的設計初衷是扛住海量并發流量，單節點往往承載數千用戶的出口流量。一節點崩潰意味著整片區域的訪問中斷，而攻擊者可以循環往復地觸發。

Apache官方給出的臨時緩解方案帶著一絲黑色幽默：將proxy.config.http.request_buffer_enabled參數設為0。好消息是，這本來就是系統默認值——意味著大量服務器可能"被動免疫"了這次崩潰風險。但別急著松口氣，第二個漏洞可沒這么溫柔。

CVE-2025-65114：請求走私的精密手術刀

安全研究員Katsutoshi Ikenoya發現的第二個漏洞，攻擊門檻更高，但危害維度完全不同。它利用ATS對分塊傳輸編碼（chunked encoding）消息體的處理缺陷，實現HTTP請求走私（HTTP Request Smuggling）。

這種攻擊技術的核心在于"欺騙邊界"。HTTP代理和后端服務器對請求邊界的解析存在細微差異時，攻擊者可以注入一個被代理"看不見"但后端會執行的隱藏請求。結果可能是緩存投毒、會話劫持，或者直接訪問內網敏感接口。

與DoS漏洞的"大力出奇跡"不同，請求走私需要精確計算分塊大小和換行符位置。但一旦成功，攻擊者可以繞過WAF、入侵檢測等安全控制層，像特洛伊木馬一樣把惡意請求送進內網。

更棘手的是，Apache官方明確表示：這個漏洞沒有任何臨時緩解措施。不想裸奔的唯一選擇就是升級。

影響范圍與升級路徑

受影響的版本跨度不小：9.x分支從9.0.0到9.2.12全部中招，10.x分支的10.0.0至10.1.1也在名單上。如果你的ATS版本號落在這個區間，補丁優先級應該拉到最高。

升級方案相對清晰：9.x用戶需更新至9.1.13或更高版本，10.x用戶則需升級到10.1.2及以上。兩個分支的修復版本同時發布，說明漏洞根因存在于共享代碼模塊。

對于無法立即重啟服務的團隊，可以優先檢查proxy.config.http.request_buffer_enabled配置。如果值為0，至少能擋住DoS攻擊向量。但請求走私漏洞沒有中間態——要么升級，要么承擔被滲透的風險。

ATS作為Apache基金會的旗艦級流量基礎設施，支撐著從CDN邊緣節點到企業網關的廣泛場景。它的安全事件往往具有連鎖效應：一個補丁的延遲，可能意味著下游無數業務系統的暴露窗口。

這次雙漏洞組合也暴露了一個經典的安全悖論：越是追求高性能的底層基礎設施，越容易在協議解析的細枝末節上栽跟頭。ATS為了處理"海量并發"而優化的代碼路徑，恰好成了攻擊者利用的突破口。

Apache軟件基金會在安全公告中使用了"strongly recommends"（強烈推薦）的措辭——對于一向措辭克制的Apache來說，這相當于拉響了火警。你的ATS版本號，現在是不是該查一下了？