漏洞描述
Apache HTTP Server 是一个Web服务器软件。
该项目受影响版本存在请求走私漏洞。由于mod_proxy_uwsgi.c 中uwsgi_response方法对于源响应头缺少检查,当apache启用mod_proxy_uwsgi后,攻击者可利用过长的源响应头等迫使应转发到客户端的响应被截断或拆分,进而可能造成会话劫持等危害
| 漏洞名称 | Apache HTTP Server 存在响应走私漏洞 |
|---|---|
| 漏洞类型 | HTTP响应分割 |
| 发现时间 | 2023-03-08 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2023-6814 |
| CVE编号 | CVE-2023-27522 |
| CNVD编号 | - |
影响范围
httpd@[2.4.30, 2.4.56)
修复方案
升级httpd到 2.4.56 或更高版本。
参考链接
https://www.oscs1024.com/hd/MPS-2023-6814
https://nvd.nist.gov/vuln/detail/CVE-2023-27522
https://httpd.apache.org/security/vulnerabilities_24.html
https://github.com/apache/httpd/commit/0df5879df8f16b4101ea2365672178b4ae899e9e
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球*开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
