发布日期：2019-07-19
更新日期：2019-07-19

受影响系统：

Apache Traffic Server 8.0.1
Apache Traffic Server 8.0
Apache Traffic Server 7.1.5
Apache Traffic Server 7.1.4
Apache Traffic Server 7.1.3
Apache Traffic Server 7.1.2
Apache Traffic Server 7.1.1
Apache Traffic Server 7.0
Apache Traffic Server 6.2.3
Apache Traffic Server 6.2.2
Apache Traffic Server 6.2.1
Apache Traffic Server 6.2
Apache Traffic Server 6.1
Apache Traffic Server 6.0

不受影响系统：

Apache Traffic Server 8.0.2
Apache Traffic Server 7.1.6

描述：

---

BUGTRAQ  ID: 107032
CVE(CAN) ID: CVE-2018-11783

Apache Traffic Server是美国Apache软件基金会的一套可扩展的HTTP代理和缓存服务器。
Apache Traffic Server 6.0.0至6.0.3版本，7.0.0至7.1.5版本和8.0.0至8.0.1版本中存在信息泄露漏洞，该漏洞源于sslheaders插件从客户端证书中提取信息，并根据插件的配置在请求中设置标头，不过在某些情况下并不会将报文头从请求中剥离。攻击者可利用该漏洞获取敏感信息的访问权限。

<*来源：Bryan Call
  
  链接：https://seclists.org/oss-sec/2019/q1/132
*>

建议：

---

厂商补丁：

SECLISTS
--------
SECLISTS已经为此发布了一个安全公告（CVE-2018-11783）以及相应补丁:
CVE-2018-11783：[CVE-2018-11783] Apache Traffic Server vulnerability with sslheader plugin
链接：https://seclists.org/oss-sec/2019/q1/132

补丁下载：

浏览次数：1052
严重程度：0（网友投票）