Apache漏洞CVE-2023-25690修复

已于 2024-09-13 09:26:22 修改
阅读量199 收藏
点赞数 1
分类专栏: 安全修复 文章标签: apache CVE-2023-25690
于 2024-08-14 17:36:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hy19930118/article/details/141196408
版权

漏洞描述

Apache HTTP Server 2.4.0版本至2.4.55版本存在环境问题漏洞,该漏洞源于某些mod_proxy配置允许HTTP请求走私攻击。攻击者利用该漏洞可以绕过代理服务器中的访问控制。

修复方法

升级至2.4.55版本

官方补丁

# 备份配置和数据
cp -r /etc/httpd /etc/httpd.backup
cp -r /var/www/html /var/www/html.backup
# 编译安装环境 
yum groupinstall -y "Development Tools"
yum install -y pcre pcre-devel openssl-devel expat-devel

# 下载apache
mkdir ~/apache_upgrade
cd ~/apache_upgrade
wget https://downloads.apache.org/httpd/httpd-2.4.55.tar.gz
tar -xzvf httpd-2.4.55.tar.gz

# 编译安装
cd httpd-2.4.55
./configure --with-included-apr --enable-so --enable-ssl --with-mpm=event
make
make install

# 操作
/usr/local/apache2/bin/apachectl start
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl restart
/usr/local/apache2/bin/apachectl graceful
查士丁尼·绵
关注
专栏目录
Apache ServiceComb Service-Center SSRF漏洞复现(CVE-2023-44313)
m0_50797689的博客
02-01 398
Apache ServiceComb Service-Center SSRF漏洞复现(CVE-2023-44313)
探索Apache HTTP Server的安全深渊:CVE-2023-25690的深度解读与实践
gitblog_00039的博客
05-28 552
探索Apache HTTP Server的安全深渊:CVE-2023-25690的深度解读与实践 去发现同类优质开源项目:https://gitcode.com/ 在这个数字化时代,服务器安全犹如护城河般至关重要。今天,我们将深入探讨一个近期曝光的重要漏洞——CVE-2023-25690,一个影响广泛的Apache HTTP Server安全问题,它不仅考验着开发者们的智慧,也为网络安全研究者们提...
Apache HTTP Server <2.4.56 mod_proxy 模块存在请求走私漏洞CVE-2023-25690
murphysec的博客
03-09 2162
Apache HTTP Server是一款Web服务器。 该项目受影响版本存在请求走私漏洞。由于intro.xml中存在RewriteRule配置不当,当Apache启用mod_proxy且配置如 RewriteRule "^/here/(.*)" " http://example.com:8080/elsewhere?$1"; http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/
2023年度漏洞预警
qq_21193587的博客
08-15 1295
漏洞是硬件,软件,协议的具体实现或系统安全策略上存在的缺陷。从而可以使用攻击者能够在破坏系统。以下数据针对 23 年截至8月期间爆发的高危严重漏洞进行了数据统计和分析,具体的数据如下所示:3.10.0 <= Openfire <4.6.84.7.0 <= Openfire < 4.7.5畅捷通 T+ 13.0畅捷通 T+ 16.01.4.0 <= Nacos < 1.4.62.0.0 <= Nacos < 2.2.3GitLab CE 16.0.0GitLab EE 16.0.0Apache RocketM
sudo提权漏洞cve-2023-22809
m0_46317063的博客
06-06 650
cve-2023-22809
WuThreat身份安全云-TVD每日漏洞情报-2023-03-09
wuthreat无胁科技的博客
03-12 409
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2023-25356。漏洞编号:CVE-2023-25223。
Apache Http Server安全漏洞解决
DaiSnow的博客
04-21 1万+
场景:公司使用的大数据集群云服务器,安全扫描出严重漏洞,扫描漏洞如下: 安全漏洞扫描报告 端口 协议 服务 严重等级 漏洞 – ICMP – 弱 ICMP timestamp请求响应漏洞 – UDP – 弱 允许Traceroute探测 80 TCP http 严重 严重 严重 严重 严重 弱 OpenSSL 安全漏洞(CVE-2022-0778) Apache HTTP Server 环境问题漏洞(CVE-2022-22720) Apache HTTP Server 输入验证错误漏
CVE-2022-30190 漏洞复现
weixin_53884648的博客
11-10 6176
通过exp实现了对微软目前存在的office-word-2016的成功复现
Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告
05-05
Apache CouchDB 信息泄露漏洞(CVE-2023-26268)通告 Apache CouchDB 是一个开源的 NoSQL 文档数据库,以基于 JSON 的文档格式收集和存储数据,提供了高可用性和高可靠性。近日,深信服安全团队监测到 Apache ...
Apache OFBiz漏洞 CVE-2023-49070 的前世今生
离别歌
12-08 1177
最新的Apache OFBiz XML-RPC 反序列化漏洞,讲讲它的前世今生。前世Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞CVE-2020-9496),问题出现在XML-RPC这个组件中。XML-RPC也是Apache基金会旗下的一个项目,但基本上在2010年前后就不更新了,...
主机扫漏:jQuery 跨站脚本漏洞修复建议 | 升级tomcat服务解决Apache Tomcat 环境问题漏洞(CVE-2023-46589)【安装多个tomcat服务】
iOS逆向与安全
05-13 1107
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr。Apache Tomcat存在环境问题漏洞,该漏洞源于存在不正确的输入验证漏洞,可能会导致将单个请求视为多个请求,从而在反向代理后面出现请求走私。
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 4840
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
SQL注入 安全狗apache4.0.26655绕过
crowsec
01-26 1901
微信公众号:乌鸦安全 扫取二维码获取更多信息! 说明 本次靶场采用经典的sqli-labs搭建,waf使用的是安全狗的apache4.0.26655版本,文章从最开始的分析到最后的结果,中间难免会有错误的地方,希望大家多多包涵和理解。 上次我们发了一篇SQL注入-安全狗超大数据包绕过的文章,使用的是安全狗apache3.5.12048版本,这次是4.0系列的版本,全手动注入,后续会带来这方面的视频课程和相关tamper的编写。 因为文章中的靶场搭载了公网上,所以对以前的笔记进行了打码。..
Apache HTTP Server路径遍历漏洞复现0day(CVE-2021-41773|CVE-2021-42013远程代码执行)
内心不种满鲜花就会长满杂草
10-09 5600
声明:请勿用于非法入侵,仅供检测与学习!传送门 ——>中华人民共和国网络安全法 漏洞描述 在 Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现了一个缺陷。攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件。如果文档根目录之外的文件不受“要求全部拒绝”的保护,则这些请求可能会成功。此外,此缺陷可能会泄漏 CGI 脚本等解释文件的来源。已知此问题已被广泛利用。此问题仅影响 Apache 2.4.49 而不是早期版本。 fofa查询:server=.
Apache隐藏版本号及其它敏感信息
qq_37880655的博客
03-28 2224
原文地址 1)主配置中启用httpd-default.conf 文件: conf/httpd.Conf 找到httpd-default.conf,删除前面的注释“#” 2)修改httpd-default.conf 文件:conf/extra/httpd-default.conf ServerTokens Full 改成 ServerTokens Prod ServerSignature...
Apache HTTPD 换行解析漏洞CVE-2017-15715)的分析与复现
dgjkkhcf的博客
07-27 2813
ApacheHTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
Apache Kafka 漏洞CVE-2023-25194】说明及解决建议
热门推荐
EdwardWang_的博客
02-10 1万+
Apache Kafka 漏洞CVE-2023-25194】说明 及 解决建议
apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50
weixin_64655821的博客
10-13 2138
apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50
Apache Shiro 目录穿越漏洞 CVE-2023-34478
07-29
很抱歉,但我没有找到关于Apache Shiro目录穿越漏洞CVE-2023-34478的相关信息。根据我所了解的情况,Apache Shiro在2022年6月29日披露了一个权限绕过漏洞CVE-2022-32532),该漏洞可能导致未经授权的远程攻击者绕过身份认证。Apache官方已发布修复漏洞的版本,并建议用户尽快升级至Apache Shiro 1.9.1及以上版本以确保安全。\[1\]\[2\]\[3\] 请注意,我的回答是基于提供的引用内容,如果有任何其他信息或更新,请参考官方渠道获取最新信息。 #### 引用[.reference_title] - *1* *3* [[ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)](https://blog.csdn.net/qq_51577576/article/details/126155240)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Apache Shiro权限绕过漏洞CVE-2022-32532)](https://blog.csdn.net/weixin_54438700/article/details/128324850)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值