通知公告

关于Apache Http Server请求走私漏洞的预警通报
发布日期:2023-05-16 08:36 浏览量:

据有关部门通报,Apache HTTP Server组件存在请求走私漏洞,漏洞编号:CVE-2023-25690,漏洞威胁等级:高危。该漏洞是由于当mod_proxy与特定格式的RewriteRule或ProxyPassMatch一起启用时,配置会受到影响,与用户提供的URL数据进行匹配后,使用变量替换将其重新插入到代理的请求目标中可实现请求走私。攻击者可利用该漏洞,构造恶意数据执行HTTP请求走私攻击,最终绕过代理服务器中的访问控制,将非预期的URL代理到现有源服务器,以及缓存中毒。

Apache HTTP Server(简称Apache),是Apache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行,由于其具有的跨平台性和安全性,被广泛使用,是最流行的Web服务器端软件之一。

(一)漏洞影响范围:

目前受影响的Apache HTTP Server版本:

2.4.0≤Apache HTTP Server≤2.4.55

(二)官方修复建议:

官方已经发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁,详细信息如下:

https://httpd.apache.org/download.cgi