关键信息 漏洞概述 漏洞编号: VSV00016 CVE编号: CVE-2025-XXXXX 日期: 2025-05-12 描述: 客户端异步漏洞可以在Varnish Cache和Varnish Enterprise中被触发。该漏洞在特定情况下涉及恶意HTTP/1分块请求时可以被触发。 影响 主要风险: 启用HTTP请求走私攻击,可能对下游系统产生后果。 缓存中毒: 下游缓存可能会缓存不正确或恶意内容。 安全风险: 如果下游产品配置为不检查请求体并允许恶意HTTP/1请求通过,则可能绕过WAF类型产品。 受影响版本 Varnish Cache: up to and including 7.7.0 Varnish Cache 6.0 LTS series: up to and including 6.0.13 Varnish Enterprise: up to and including 6.0.13r13 不受影响版本 Varnish Cache 7.7.1 (released 2025-05-12) Varnish Cache 7.6.3 (released 2025-05-12) Varnish Cache 6.0 LTS version 6.0.14 (released 2025-05-12) Varnish Enterprise 6.0.13r14 (released 2025-05-12) 缓解措施 升级Varnish到已解决此问题的版本。 在VCL文件中添加过滤规则以阻止使用Transfer-encoding: chunked的客户端请求。 解决方案 推荐升级Varnish到已解决此问题的版本,并确保Varnish重启。 时间线 2025-03-29: 问题报告给安全联系人列表。 2025-03-31: 确认报告并分配处理人员。 2025-04-01: 制定变通方法和初始补丁。 2025-04-02: 补丁审查并通过。 2025-04-04: 新补丁获得批准。 2025-04-07: 确定初步披露日期。 2025-04-09: 发布修补后的Varnish Enterprise版本。 2025-05-05: 建立与下游包分发的沟通渠道。 2025-05-12: 公开宣布。