文章总结： Apache软件基金会发布关键安全更新，修复TrafficServer(ATS)中两个高危漏洞：CVE-2025-58136为远程DoS漏洞，攻击者发送合法POST请求即可使服务器崩溃；CVE-2025-65114为HTTP请求走私漏洞，因分块消息体处理缺陷可导致安全控制绕过、缓存污染或数据窃取。受影响版本包括ATS9.0.0-9.2.12和10.0.0-10.1.1，建议管理员立即升级至9.1.13+/10.1.2+版本，或对DoS漏洞临时设置proxy.config.http.requestbufferenabled为0缓解。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,解决方案,应用安全,网络安全

Apache 流量服务器漏洞使攻击者能够触发拒绝服务攻击

网安百色

2026年4月6日 18:37 广西

The Apache Software Foundation 已发布关键安全更新，以修复 Apache Traffic Server（ATS）中的两个漏洞。

这些漏洞于 2026 年 4 月 2 日披露，可能被远程威胁行为者利用来触发拒绝服务（DoS）攻击，或实施 HTTP 请求走私攻击。

漏洞源于服务器在处理包含请求体数据的 HTTP 请求时的方式存在缺陷。

漏洞分析

安全研究人员 Masakazu Kitajo 和 Katsutoshi Ikenoya 发现了两个影响 ATS 处理 Web 流量方式的独立问题。

第一个漏洞（CVE-2025-58136）

攻击者仅需发送一个合法的 POST 请求即可使服务器崩溃。

由于无需任何特殊身份验证，该漏洞对拒绝服务攻击构成严重风险。攻击者可以轻松利用该漏洞干扰企业网络并使应用下线。

第二个漏洞（CVE-2025-65114）

这是一个 HTTP 请求走私漏洞，由对格式错误的分块（chunked）消息体处理不当引起。

请求走私是一种极具危险性的攻击技术，允许攻击者干扰不同服务器对 HTTP 请求边界的解析方式。

这可能导致攻击者绕过安全控制、污染 Web 缓存，或窃取同一服务器上其他用户的敏感数据。

Apache Traffic Server 是一款流行的高性能 Web 代理与缓存服务器，因此这些漏洞对企业环境构成了重大威胁。

管理员应立即检查其部署情况。受影响版本包括：

ATS 9.x 分支（9.0.0 至 9.2.12）

ATS 10.x 分支（10.0.0 至 10.1.1）

缓解措施与解决方案

为保障基础设施安全，网络管理员必须尽快升级 ATS：

使用 9.x 分支的用户应升级至 9.1.13 或更高版本

使用 10.x 分支的用户应升级至 10.1.2 或更高版本

如果无法立即打补丁，对于拒绝服务漏洞（CVE-2025-58136）可采取临时缓解措施：

通过设置配置参数 proxy.config.http.request_buffer_enabled 为 0，可防止服务器崩溃（该值在标准配置中通常为默认值）

对于请求走私漏洞（CVE-2025-65114），不存在配置层面的缓解方案。

升级软件仍然是唯一彻底的安全防护手段。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《Apache 流量服务器漏洞使攻击者能够触发拒绝服务攻击》