Akamai 成功消除了一个潜在的 HTTP 请求走私漏洞 (CVE-2025-54142),该漏洞源于部分源服务器对携带请求体的 OPTIONS 请求处理不当。
客户端可以利用 RFC 9110 中定义的 HTTP OPTIONS 请求方法来确定服务器上给定 URL 所允许的通信选项。OPTIONS 方法主要用于跨源资源共享 (CORS) 场景,作用是让浏览器在发起真实请求前,能够以幂等的方式执行一次“预检”请求。
尽管在实际应用中不常见,但 OPTIONS 方法可以携带一个实体请求体 (entity-body),即使根据 RFC 9110,此类请求没有已知的有效用例,并且没有已知的浏览器或移动客户端会正常发出此类请求。
详情
某些不符合 RFC 规范的源服务器堆栈,在接收到由 Akamai 代理服务器转发来的请求体时,未能正常处理该请求体,这可能导致该载荷残留在代理与源服务器之间的持久连接中。
随后,发往同一源服务器的后续常规 HTTP 请求便会被附加到其末尾,导致源服务器将走私的请求一并解析。
这为攻击者提供了可乘之机,他们可能会根据源服务器的配置,发起缓存投毒或其他安全威胁。
抵御措施
除了我们在 2025 年 7 月 21 日为防御该特定请求走私漏洞所部署的 WAF 快速规则外,我们还实施了一项独立的平台级更改:通过终止任何携带请求体的 OPTIONS 请求所对应的客户端与源服务器连接,来杜绝这种攻击及类似的攻击手法。这项更改已于 2025 年 8 月 11 日全面部署。
标签
