A Apache Software Foundation corrigiu vulnerabilidades críticas no Apache Traffic Server, software amplamente usado como proxy reverso e cache HTTP em ambientes corporativos.
As falhas acendem um alerta para equipes de infraestrutura porque atingem um componente central na entrega de aplicações web e podem afetar diretamente a disponibilidade dos serviços.
Uma das brechas permite que uma requisição HTTP POST aparentemente legítima provoque negação de serviço.
A segunda falha envolve o tratamento incorreto de mensagens chunked malformadas.
Esse comportamento pode abrir espaço para ataques de HTTP request smuggling, técnica usada para manipular a forma como diferentes camadas da infraestrutura interpretam uma mesma requisição.
As vulnerabilidades afetam diferentes linhas ativas do projeto, o que amplia a superfície de risco para organizações que mantêm versões antigas em produção.
Em ambientes com alto volume de tráfego, a exploração pode provocar indisponibilidade relevante e comprometer a confiabilidade dos serviços publicados.
A principal recomendação é aplicar imediatamente as versões corrigidas disponibilizadas pelo projeto.
No caso da falha de negação de serviço, existe ainda uma mitigação temporária por configuração, mas essa medida não substitui a atualização completa do software.
Já para o problema ligado a request smuggling, a correção definitiva depende do patch.
Isso torna a atualização ainda mais urgente para empresas que usam o Apache Traffic Server em borda de rede, balanceamento ou camadas de aceleração de aplicações críticas.
