一、背景介绍

近日，Apache官方发布安全通告，修复多个Apache HTTP Server 漏洞，请受影响的用户尽快采取措施进行防护。

1.1 漏洞描述

Apache HTTP Server（简称 Apache）是 Apache 软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，是最流行的Web服务器端软件之一。

Apache HTTP Server 请求走私漏洞（CVE-2023-25690）：

远程攻击者可通过构造恶意HTTP请求包绕过代理服务器中的访问控制，将非预期的URL代理到现有源服务器，从而导致缓存中毒。

Apache HTTP Server 响应走私漏洞（CVE-2023-27522）：

远程攻击可利用此漏洞者注入任意HTTP 标头并导致服务器返回拆分响应，攻击者进一步利用该漏洞，最终可能导致 Web 缓存中毒或跨站脚本攻击，并获取敏感信息。

1.2 漏洞编号

CVE-2023-25690

CVE-2023-27522

1.3漏洞等级

    高危

二、修复建议

2.1 受影响版本

CVE-2023-25690：

2.4.0 <= Apache HTTP Server <= 2.4.55

CVE-2023-27522：

2.4.30 <= Apache HTTP Server <= 2.4.55

2.2 修复建议

目前官方已发布安全版本修复此漏洞，建议受影响的用户及时升级防护：

https://httpd.apache.org/download.cgi#apache24