一、背景介绍
近日,Apache官方发布安全通告,修复多个Apache HTTP Server 漏洞,请受影响的用户尽快采取措施进行防护。
1.1 漏洞描述
Apache HTTP Server(简称 Apache)是 Apache 软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,是最流行的Web服务器端软件之一。
Apache HTTP Server 请求走私漏洞(CVE-2023-25690):
远程攻击者可通过构造恶意HTTP请求包绕过代理服务器中的访问控制,将非预期的URL代理到现有源服务器,从而导致缓存中毒。
Apache HTTP Server 响应走私漏洞(CVE-2023-27522):
远程攻击可利用此漏洞者注入任意HTTP 标头并导致服务器返回拆分响应,攻击者进一步利用该漏洞,最终可能导致 Web 缓存中毒或跨站脚本攻击,并获取敏感信息。
1.2 漏洞编号
CVE-2023-25690
CVE-2023-27522
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
CVE-2023-25690:
2.4.0 <= Apache HTTP Server <= 2.4.55
CVE-2023-27522:
2.4.30 <= Apache HTTP Server <= 2.4.55
2.2 修复建议
目前官方已发布安全版本修复此漏洞,建议受影响的用户及时升级防护:
https://httpd.apache.org/download.cgi#apache24