一、漏洞详情

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器，由于其具有跨平台性和安全性，被广泛使用，它是最流行的Web服务器端软件之一。

3月7日，Apache官方发布安全公告，修复了Apache HTTP Server中的一个HTTP请求走私漏洞（CVE-2023-25690）。Apache HTTP Server 版本2.4.0 - 2.4.55的某些mod_proxy配置可能导致HTTP请求走私攻击，这种攻击可能会导致绕过代理服务器中的访问控制，将非预期的URL代理到现有源服务器，以及缓存中毒等。

二、影响范围

2.4.0<= Apache HTTP Server 版本<= 2.4.55

三、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Apache HTTP Server 版本 >= 2.4.56

下载链接：https://httpd.apache.org/download.cgi

注：Apache HTTP Server 版本 2.4.56中还修复了通过 mod_proxy_uwsgi 的 HTTP 响应走私漏洞（CVE-2023-27522，中危），该漏洞影响了Apache HTTP Server 版本2.4.30 - 2.4.55。