Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞(CVE-2023-27522)

这篇具有很好参考价值的文章主要介绍了Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞(CVE-2023-27522)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

漏洞描述

Apache HTTP Server 是一个Web服务器软件。

该项目受影响版本存在请求走私漏洞。由于mod_proxy_uwsgi.c 中uwsgi_response方法对于源响应头缺少检查,当apache启用mod_proxy_uwsgi后,攻击者可利用过长的源响应头等迫使应转发到客户端的响应被截断或拆分,进而可能造成会话劫持等危害。

漏洞名称 Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞
漏洞类型 HTTP请求走私
发现时间 2023/3/8
漏洞影响广度 广
MPS编号 MPS-2023-6814
CVE编号 CVE-2023-27522
CNVD编号 -

影响范围

httpd@[2.4.30, 2.4.56)

apache2@(-∞, 2.4.56-1)

修复方案

升级httpd到 2.4.56 或更高版本。

将组件 apache2 升级至 2.4.56-1 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-6814

https://nvd.nist.gov/vuln/detail/CVE-2023-27522

https://httpd.apache.org/security/vulnerabilities_24.html

https://github.com/apache/httpd/commit/0df5879df8f16b4101ea2365672178b4ae899e9e

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj

产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅: https://www.oscs1024.com/cm/?sf=qbyj

Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞(CVE-2023-27522)文章来源地址https://www.toymoban.com/news/detail-492648.html

到了这里,关于Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞(CVE-2023-27522)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Apache Http Server 路径穿越漏洞复现(CVE-2021-41773)

    Apache HTTP Server(简称 Apache)是 Apache 软件基金会的一个开放源码的网页服务器软件,可以在大多数电脑操作系统中运行。由于其跨平台和安全性,被广泛使用,是最流行的 Web 服务器软件之一。它快速、可靠并且可通过简单的 API 扩展,将 Perl/Python 等解释器编译到服务器中。

    2024年02月08日
    浏览(77)
  • centos 7.6安装 Apache HTTP Server 2.4.58

    Apache HTTP Server is the Number One HTTP Server On The Internet. The Apache HTTP Server Project is an effort to develop and maintain an open-source HTTP server for modern operating systems including UNIX and Windows. The goal of this project is to provide a secure, efficient and extensible server that provides HTTP services in sync with the current HTTP sta

    2024年02月22日
    浏览(46)
  • Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源代码的网页服务器

    Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行,由于其具有的跨平台性和安全性,被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,Perl/Python解释器可被编译到服务器中

    2024年02月19日
    浏览(45)
  • 【26】应用开发——如何在Ubuntu系统中安装并配置Apache Http Server

    提示:此文章仅作为本人记录日常学习使用,若有存在错误或者不严谨得地方欢迎指正。 Ubuntu系统版本:Ubuntu 20.04.5 LTS 打开终端,输入以下命令更新软件包列表: 安装Apache服务器: 查看相关程序的防火墙规则: 此时应该能看到以下结果: 允许Apache服务器的流量通过防火墙

    2024年01月18日
    浏览(38)
  • window中安装Apache http server(httpd-2.4.58-win64-VS17)

    1、下载windows版本的的httpd, https://httpd.apache.org/docs/current/platform/windows.html#down 这里选择的是Apache Lounge编译的版本 https://www.apachelounge.com/download/ 2、解压到指定目录,这里解压到D盘根目录,得到D:Apache24 3、修改配置文件http.conf 4、修改之后,检测配置文件是否有语法错误 语法

    2024年01月20日
    浏览(56)
  • 【Nginx05】Nginx学习:HTTP核心模块(二)Server

    第一个重要的子模块就是这个 Server 相关的模块。Server 代表服务的意思,其实就是这个 Nginx 的 HTTP 服务端所能提供的服务。或者更直白点说,就是虚拟主机的配置。通过 Server ,我们可以在同一台服务器上,配置监听不同端口号的 HTTP 应用,配置不同域名解析的 HTTP 服务,并

    2024年02月12日
    浏览(47)
  • python使用Apache+mod_wsgi部署Flask

    安装时勾选\\\"Add python.exe to PATH\\\"就不需要手动配置环境变量了: 直接下一步即可: 选择自己的安装目录: 安装完成后验证是否安装配置成功,打开cmd,输入如下命令: 如下则表示配置成功: 下载地址 注意要和Python版本一样,Python 3.10选择cp310,这里我选择的是 mod_wsgi-4.9.2-c

    2024年01月18日
    浏览(43)
  • django-release-debug-apache-mod-wsgi-原理解析

    由于django处理静态资源的效率偏低,顾在release模式不支持静态资源,这种情况需要在apache下配置静态资源路径。在Apache24conf目录下httpd.conf文件中,添加映射,如下所示: 在windows下,mod_wsgi作为一个动态链接库加载进apache内存,如下图所示: mod_wsgi不能作为单独进程运行。

    2024年02月04日
    浏览(41)
  • 解决 go mod tidy 加载模块超时

    如果go mod tidy 加载模块超时 解决方法 修改GOPROXY: 查看go环境相关信息:

    2024年02月11日
    浏览(41)
  • freeswitch的mod_xml_curl模块

      freeswitch是一款简单好用的VOIP开源软交换平台。 随着fs服务的增多,每一台fs都需要在后台单独配置,耗时耗力,心力憔悴。 如果有一个集中管理配置的配置中心,统一管理所有fs的配置,并可以实现动态的修改配置就好了。 于是就发现了mod_xml_curl模块。 centos:CentOS  rel

    2024年02月15日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包