关于Apache HTTP Server请求走私漏洞(CVE-2023-25690)的预警提示

发布时间: 2023-05-17      访问次数: 688

一、漏洞详情


Apache HTTP ServerApache软件基金会的一个开放源代码的网页服务器,由于其具有跨平台性和安全性,被广泛使用,它是最流行的Web服务器端软件之一。


37日,Apache官方发布安全公告,修复了Apache HTTP Server中的一个HTTP请求走私漏洞(CVE-2023-25690)。Apache HTTP Server 版本2.4.0 - 2.4.55的某些mod_proxy配置可能导致HTTP请求走私攻击,这种攻击可能会导致绕过代理服务器中的访问控制,将非预期的URL代理到现有源服务器,以及缓存中毒等。


二、影响范围


2.4.0<= Apache HTTP Server 版本<= 2.4.55


三、修复建议


目前该漏洞已经修复,受影响用户可升级到以下版本:


Apache HTTP Server 版本 >= 2.4.56


下载链接:https://httpd.apache.org/download.cgi


注:Apache HTTP Server 版本 2.4.56中还修复了通过 mod_proxy_uwsgi  HTTP 响应走私漏洞(CVE-2023-27522,中危),该漏洞影响了Apache HTTP Server 版本2.4.30 - 2.4.55