Apache ATS爆2个高危漏洞：一个POST请求就能让服务器

Apache Traffic Server（简称ATS，一款高性能Web代理缓存服务器）的用户群昨天收到了一份不太愉快的"补丁日礼物"。Apache软件基金会紧急推送安全更新，修复了两个足以让运维团队彻夜难眠的漏洞——其中一个只需要一个最普通的POST请求，就能让整个代理服务器当场崩溃。

这不是什么边缘场景的奇技淫巧。POST请求是网页表单提交、文件上传、登录验证的基础操作，每天在互联网上流转数十亿次。攻击者甚至不需要构造恶意载荷，一个"合法但致命"的请求就能触发拒绝服务（DoS）。

CVE-2025-58136：一个POST请求引发的惨案

安全研究员Masakazu Kitajo发现的这个漏洞，堪称"极简主义攻击"的典范。ATS在处理带消息体的HTTP请求时存在缺陷，而POST请求恰好属于这一类别。

攻击流程简单到离谱：远程发送POST请求→ATS处理消息体时崩溃→代理服务器宕机→所有依赖该基础设施的合法用户被断网。整个过程不需要认证、不需要复杂构造、不需要社工配合。

企业级代理缓存一旦瘫痪，影响范围会被快速放大。ATS的设计初衷是扛住海量并发流量，单节点往往承载数千用户的出口流量。一节点崩溃意味着整片区域的访问中断，而攻击者可以循环往复地触发。

Apache官方给出的临时缓解方案带着一丝黑色幽默：将proxy.config.http.request_buffer_enabled参数设为0。好消息是，这本来就是系统默认值——意味着大量服务器可能"被动免疫"了这次崩溃风险。但别急着松口气，第二个漏洞可没这么温柔。

CVE-2025-65114：请求走私的精密手术刀

安全研究员Katsutoshi Ikenoya发现的第二个漏洞，攻击门槛更高，但危害维度完全不同。它利用ATS对分块传输编码（chunked encoding）消息体的处理缺陷，实现HTTP请求走私（HTTP Request Smuggling）。

这种攻击技术的核心在于"欺骗边界"。HTTP代理和后端服务器对请求边界的解析存在细微差异时，攻击者可以注入一个被代理"看不见"但后端会执行的隐藏请求。结果可能是缓存投毒、会话劫持，或者直接访问内网敏感接口。

与DoS漏洞的"大力出奇迹"不同，请求走私需要精确计算分块大小和换行符位置。但一旦成功，攻击者可以绕过WAF、入侵检测等安全控制层，像特洛伊木马一样把恶意请求送进内网。

更棘手的是，Apache官方明确表示：这个漏洞没有任何临时缓解措施。不想裸奔的唯一选择就是升级。

影响范围与升级路径

受影响的版本跨度不小：9.x分支从9.0.0到9.2.12全部中招，10.x分支的10.0.0至10.1.1也在名单上。如果你的ATS版本号落在这个区间，补丁优先级应该拉到最高。

升级方案相对清晰：9.x用户需更新至9.1.13或更高版本，10.x用户则需升级到10.1.2及以上。两个分支的修复版本同时发布，说明漏洞根因存在于共享代码模块。

对于无法立即重启服务的团队，可以优先检查proxy.config.http.request_buffer_enabled配置。如果值为0，至少能挡住DoS攻击向量。但请求走私漏洞没有中间态——要么升级，要么承担被渗透的风险。

ATS作为Apache基金会的旗舰级流量基础设施，支撑着从CDN边缘节点到企业网关的广泛场景。它的安全事件往往具有连锁效应：一个补丁的延迟，可能意味着下游无数业务系统的暴露窗口。

这次双漏洞组合也暴露了一个经典的安全悖论：越是追求高性能的底层基础设施，越容易在协议解析的细枝末节上栽跟头。ATS为了处理"海量并发"而优化的代码路径，恰好成了攻击者利用的突破口。

Apache软件基金会在安全公告中使用了"strongly recommends"（强烈推荐）的措辞——对于一向措辞克制的Apache来说，这相当于拉响了火警。你的ATS版本号，现在是不是该查一下了？