一、漏洞详情
Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器,由于其具有跨平台性和安全性,被广泛使用,它是最流行的Web服务器端软件之一。
3月7日,Apache官方发布安全公告,修复了Apache HTTP Server中的一个HTTP请求走私漏洞(CVE-2023-25690)。Apache HTTP Server 版本2.4.0 - 2.4.55的某些mod_proxy配置可能导致HTTP请求走私攻击,这种攻击可能会导致绕过代理服务器中的访问控制,将非预期的URL代理到现有源服务器,以及缓存中毒等。
二、影响范围
2.4.0<= Apache HTTP Server 版本<= 2.4.55
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Apache HTTP Server 版本 >= 2.4.56
下载链接:https://httpd.apache.org/download.cgi
注:Apache HTTP Server 版本 2.4.56中还修复了通过 mod_proxy_uwsgi 的 HTTP 响应走私漏洞(CVE-2023-27522,中危),该漏洞影响了Apache HTTP Server 版本2.4.30 - 2.4.55。