一、漏洞详情

　　Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器，由于其具有跨平台性和安全性，被广泛使用，它是最流行的Web服务器端软件之一。

　　3月7日，Apache官方发布安全公告，修复了Apache HTTP Server中的一个HTTP请求走私漏洞(CVE-2023-25690)。Apache HTTP Server版本2.4.0 - 2.4.55的某些mod_proxy配置可能导致HTTP请求走私攻击，这种攻击可能会导致绕过代理服务器中的访问控制，将非预期的URL代理到现有源服务器，以及缓存中毒等。

　　二、影响范围

　　2.4.0<= Apache HTTP Server版本<= 2.4.55

　　三、修复建议

　　目前该漏洞已经修复，受影响用户可升级到以下版本：

　　Apache HTTP Server版本>= 2.4.56

　　下载链接：https://httpd.apache.org/download.cgi

　　注：Apache HTTP Server版本2.4.56中还修复了通过mod_proxy_uwsgi的HTTP响应走私漏洞(CVE-2023-27522，中危)，该漏洞影响了Apache HTTP Server版本2.4.30 - 2.4.55。