CVE-2024-50306

Apache Traffic Server: Server process can fail to drop privilege

CVSS 9.1 CRITICALEPSS 1.6%CWE-252

Em resumo

O Apache Traffic Server não consegue descartar adequadamente os privilégios do sistema ao iniciar, permitindo que o servidor funcione com níveis de acesso maiores do que o esperado. Isso pode permitir que invasores explorem o serviço com permissões elevadas.

Detalhe técnico

Uma verificação de retorno ausente no mecanismo de redução de privilégios durante a inicialização permite que o Apache Traffic Server continue a execução mesmo se a redução de privilégios falhar, resultando em retenção de privilégios de root ou elevados. A vulnerabilidade afeta as versões 9.2.0–9.2.5 e 10.0.0–10.0.1, permitindo escalação de privilégio se um invasor conseguir comprometer ou interagir com o processo com privilégios impróprios.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Unchecked return value can allow Apache Traffic Server to retain privileges on startup. This issue affects Apache Traffic Server: from 9.2.0 through 9.2.5, from 10.0.0 through 10.0.1. Users are recommended to upgrade to version 9.2.6 or 10.0.2, which fixes the issue.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

Produtos afetados

Apache Software Foundation · Apache Traffic Server

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://lists.apache.org/thread/y15fh6c7kyqvzm0f9odw7c5jh4r4np0y https://lists.debian.org/debian-lts-announce/2025/02/msg00018.html