Apache HTTP Server走私漏洞风险通告
2023-3-8 14:25:17 Author: 赛博昆仑CERT(查看原文) 阅读量:28 收藏

-赛博昆仑漏洞安全通告-

Apache HTTP Server走私漏洞
风险通告

漏洞描述   

Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。

近日,赛博昆仑CERT监测到Apache发布了安全通告,披露了两个Apache HTTP Server走私漏洞CVE-2023-25690和CVE-2023-27522。

漏洞名称
Apache HTTP Server的HTTP请求走私漏洞
漏洞公开编号
CVE-2023-25690
昆仑漏洞库编号
CYKL-2023-002239
漏洞类型
HTTP请求走私
公开时间
2023-03-07
漏洞等级
高危
CVSS评分
暂无
漏洞描述
Apache HTTP Server上的某些 mod_proxy 配置可能导致 HTTP 请求走私攻击。HTTP请求走私可能导致绕过代理服务器中的访问控制,将非预期的 URL 代理到现有服务器,以及缓存中毒。
影响版本
2.4.0<= Apache HTTP Server <=2.4.55
PoC状态
未知
EXP状态
未知
在野利用
未知
技术细节
未知
漏洞名称
Apache HTTP Server的响应走私漏洞 
漏洞公开编号
CVE-2023-27522
昆仑漏洞库编号
CYKL-2023-002240
漏洞类型
HTTP响应走私
公开时间
2023-03-07
漏洞等级
中危
CVSS评分
暂无
漏洞描述
Apache HTTP Server的mod_proxy_uwsgi 模块原始响应头中的特殊字符可以拆分响应转发给客户端。
影响版本
2.4.30<= Apache HTTP Server <=2.4.55
PoC状态
未知
EXP状态
未知
在野利用
未知
技术细节
未知
修复建议
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
    Apache HTTP Server >= 2.4.56
下载地址:
    https://httpd.apache.org/download.cgi
技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

联系邮箱:[email protected]

公众号:赛博昆仑CERT

参考链接

  • https://httpd.apache.org/security/vulnerabilities_24.html
时间线
  • 2023年3月
    7日,Apache官方发布安全通告
  • 2023年3月8日,赛博昆仑CERT发布安全风险通告

    文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483926&idx=1&sn=2ed581467320f2926f49dc09da1afb11&chksm=c12aff97f65d768186eb6cf175f0fa20ed4993c1bd4e0672ccf43fc65d2a40896a426da078f3#rd
    如有侵权请联系:admin#unsafe.sh