Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞(CVE-2023-27522)
漏洞描述
Apache HTTP Server 是一个Web服务器软件。
该项目受影响版本存在请求走私漏洞。由于mod_proxy_uwsgi.c 中uwsgi_response方法对于源响应头缺少检查,当apache启用mod_proxy_uwsgi后,攻击者可利用过长的源响应头等迫使应转发到客户端的响应被截断或拆分,进而可能造成会话劫持等危害。
| 漏洞名称 | Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞 |
|---|---|
| 漏洞类型 | HTTP请求走私 |
| 发现时间 | 2023/3/8 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2023-6814 |
| CVE编号 | CVE-2023-27522 |
| CNVD编号 | - |
影响范围
httpd@[2.4.30, 2.4.56)
apache2@(-∞, 2.4.56-1)
修复方案
升级httpd到 2.4.56 或更高版本。
将组件 apache2 升级至 2.4.56-1 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2023-6814
https://nvd.nist.gov/vuln/detail/CVE-2023-27522
https://httpd.apache.org/security/vulnerabilities_24.html
https://github.com/apache/httpd/commit/0df5879df8f16b4101ea2365672178b4ae899e9e
关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj
产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅: https://www.oscs1024.com/cm/?sf=qbyj
