【漏洞预警】关于Apache HTTP Server多个安全漏洞的风险提示

发布者:李雪娇发布时间:2023-03-10浏览次数:780

一、背景介绍

近日,Apache官方发布安全通告,修复多个Apache HTTP Server 漏洞,请受影响的用户尽快采取措施进行防护。

1.1 漏洞描述

Apache HTTP Server(简称 Apache)是 Apache 软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,是最流行的Web服务器端软件之一。

Apache HTTP Server 请求走私漏洞(CVE-2023-25690):

远程攻击者可通过构造恶意HTTP请求包绕过代理服务器中的访问控制,将非预期的URL代理到现有源服务器,从而导致缓存中毒。

Apache HTTP Server 响应走私漏洞(CVE-2023-27522):

远程攻击可利用此漏洞者注入任意HTTP 标头并导致服务器返回拆分响应,攻击者进一步利用该漏洞,最终可能导致 Web 缓存中毒或跨站脚本攻击,并获取敏感信息。

1.2 漏洞编号

CVE-2023-25690

CVE-2023-27522

1.3漏洞等级

    高危

 

二、修复建议

2.1 受影响版本

CVE-2023-25690:

2.4.0 <= Apache HTTP Server <= 2.4.55

CVE-2023-27522:

2.4.30 <= Apache HTTP Server <= 2.4.55

2.2 修复建议

目前官方已发布安全版本修复此漏洞,建议受影响的用户及时升级防护:

https://httpd.apache.org/download.cgi#apache24