Varnish เป็น Caching Server ชื่อดังที่มีการถูกนำไปใช้มากมาย โดยมักจะถูกนำไปใช้คู่กับ Nginx เสมอ ล่าสุดพบช่องโหว่ที่ทำให้เกิด DoS ได้

ในส่วนการจัดการ request ของ Varnishd มีการใส่ if condition ที่ผิดพลาด ทำให้เกิดปัญหาการเลือก Request จาก user อย่างเหมาะสมทำให้อาจเกิดปัญหากับระบบ ตัว varnishd worker จะหยุดการทำงานและ restart เอง รวมถึงส่งผลให้ cache content นั้นๆหายไปอีกด้วย

Attacker สามารถทำให้ worker crash เมื่อไหร่ก็ได้ตามต้องการ หากส่ง request อย่างต่อเนื่องก็จะทำให้คล้ายๆกับการเกิด DoS นั่นเอง

ผลกระทบ: Denial-of-Service
ระบบที่ได้รับผลกระทบ: Varnishd * 4.0.1 to 4.0.4,* 4.1.0 to 4.1.7,* 5.0.0,* 5.1.0 to 5.1.2
วิธีการแก้ไข: * 4.0.5 >=, * 4.1.8 >=, * 5.1.3 >=

Source:: Varnish-Cache