• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
    • Apache Http Server請求走私漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2023-25690
    • 漏洞類型: 請求走私
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2023-03-17
    • 更新時間:2023-03-17

    漏洞簡介

    2023 年 3 月 9 日,深信服安全團(tuán)隊監(jiān)測到一則 Apache HTTP Server 組件存在請求走私漏洞的信息,漏洞編號:CVE-2023-25690,漏洞威脅等級:高危。

    該漏洞是由于當(dāng) mod_proxy 與特定格式的 RewriteRule 或 ProxyPassMatch一起啟用時,配置會受到影響,與用戶提供的 URL 數(shù)據(jù)進(jìn)行匹配后,使用變量替換將其重新插入到代理的請求目標(biāo)中可實現(xiàn)請求走私。攻擊者可利用該漏洞,構(gòu)造惡意數(shù)據(jù)執(zhí)行 HTTP 請求走私攻擊,最終繞過代理服務(wù)器中的訪問控制,將非預(yù)期的 URL 代理到現(xiàn)有源服務(wù)器,以及緩存中毒。

    漏洞公示

    暫無

    參考網(wǎng)站

    https://httpd.apache.org/security_report.html

    受影響實體

    Apache HTTP Server 可以運(yùn)行在幾乎所有計算機(jī)平臺上,由于其跨平臺和安全性被廣泛使用,成為最流行的 Web 服務(wù)器端軟件之一)。全球有數(shù)千萬 Web 服務(wù)器采用 Apache HTTP Server,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,國內(nèi)省份中,浙江、廣東、山東、北京、上海等省市接近 70%,此漏洞危險等級高,涉及用戶量多,但是存在較為嚴(yán)苛的前置條件,漏洞影響力一般。

    目前受影響的 Apache HTTP Server 版本:

    2.4.0≤Apache HTTP Server≤2.4.55

    補(bǔ)丁

    圖片

    如何檢測組件版本


    可執(zhí)行命令

    httpd -v

    apachectl -v

    獲取組件版本,如圖:

    圖片

    官方修復(fù)建議


    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:

    https://httpd.apache.org/download.cgi

    深信服解決方案



    1.主動檢測

    支持對 Apache Http Server 請求走私漏洞 (CVE-2023-25690) 的主動檢測,可批量快速檢出業(yè)務(wù)場景中該事件的受影響資產(chǎn)情況,相關(guān)產(chǎn)品如下:

    【深信服云鏡YJ】預(yù)計 2023 年 3 月 13 日發(fā)布檢測方案。

    【深信服漏洞評估工具TSS】預(yù)計 2023 年 3 月 13 日發(fā)布檢測方案。

    【深信服主機(jī)安全檢測響應(yīng)平臺CWPP】預(yù)計 2023 年 3 月 9 日發(fā)布檢測方案。

    【深信服安全托管服務(wù)MSS】預(yù)計 2023 年 3 月 9 日發(fā)布檢測方案。

    【深信服安全檢測與響應(yīng)平臺XDR】預(yù)計 2023 年 3 月 9 日發(fā)布檢測方案。