Apache Http Server請(qǐng)求走私漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):CVE-2023-25690
  • 漏洞類型: 請(qǐng)求走私
  • 威脅類型:未知
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2023-03-17
  • 更新時(shí)間:2023-03-17

漏洞簡(jiǎn)介

2023 年 3 月 9 日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則 Apache HTTP Server 組件存在請(qǐng)求走私漏洞的信息,漏洞編號(hào):CVE-2023-25690,漏洞威脅等級(jí):高危。

該漏洞是由于當(dāng) mod_proxy 與特定格式的 RewriteRule 或 ProxyPassMatch一起啟用時(shí),配置會(huì)受到影響,與用戶提供的 URL 數(shù)據(jù)進(jìn)行匹配后,使用變量替換將其重新插入到代理的請(qǐng)求目標(biāo)中可實(shí)現(xiàn)請(qǐng)求走私。攻擊者可利用該漏洞,構(gòu)造惡意數(shù)據(jù)執(zhí)行 HTTP 請(qǐng)求走私攻擊,最終繞過(guò)代理服務(wù)器中的訪問(wèn)控制,將非預(yù)期的 URL 代理到現(xiàn)有源服務(wù)器,以及緩存中毒。

漏洞公示

暫無(wú)

參考網(wǎng)站

https://httpd.apache.org/security_report.html

受影響實(shí)體

Apache HTTP Server 可以運(yùn)行在幾乎所有計(jì)算機(jī)平臺(tái)上,由于其跨平臺(tái)和安全性被廣泛使用,成為最流行的 Web 服務(wù)器端軟件之一)。全球有數(shù)千萬(wàn) Web 服務(wù)器采用 Apache HTTP Server,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,國(guó)內(nèi)省份中,浙江、廣東、山東、北京、上海等省市接近 70%,此漏洞危險(xiǎn)等級(jí)高,涉及用戶量多,但是存在較為嚴(yán)苛的前置條件,漏洞影響力一般。

目前受影響的 Apache HTTP Server 版本:

2.4.0≤Apache HTTP Server≤2.4.55

補(bǔ)丁

圖片

如何檢測(cè)組件版本


可執(zhí)行命令

httpd -v

apachectl -v

獲取組件版本,如圖:

圖片

官方修復(fù)建議


當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

https://httpd.apache.org/download.cgi

深信服解決方案



1.主動(dòng)檢測(cè)

支持對(duì) Apache Http Server 請(qǐng)求走私漏洞 (CVE-2023-25690) 的主動(dòng)檢測(cè),可批量快速檢出業(yè)務(wù)場(chǎng)景中該事件的受影響資產(chǎn)情況,相關(guān)產(chǎn)品如下:

【深信服云鏡YJ】預(yù)計(jì) 2023 年 3 月 13 日發(fā)布檢測(cè)方案。

【深信服漏洞評(píng)估工具TSS】預(yù)計(jì) 2023 年 3 月 13 日發(fā)布檢測(cè)方案。

【深信服主機(jī)安全檢測(cè)響應(yīng)平臺(tái)CWPP】預(yù)計(jì) 2023 年 3 月 9 日發(fā)布檢測(cè)方案。

【深信服安全托管服務(wù)MSS】預(yù)計(jì) 2023 年 3 月 9 日發(fā)布檢測(cè)方案。

【深信服安全檢測(cè)與響應(yīng)平臺(tái)XDR】預(yù)計(jì) 2023 年 3 月 9 日發(fā)布檢測(cè)方案。