【漏洞通告】Apache HTTP Server越界读取漏洞(CVE-2023-31122)
更新时间:2024-03-22 来源: 编辑:管理员 浏览:361


2023年10月30日,保旺达星罗网络空间安全实验室监测到Apache HTTP Server中修复了一个越界读取漏洞(CVE-2023-31122)。

漏洞概述

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器,由于其具有跨平台性和安全性,被广泛使用,它是最流行的Web服务器端软件之一。


风险提示

该漏洞存在于Apache HTTP Server 的 mod_macro 模块中,由于在处理超长的宏时,不会添加空字节终止符,导致越界读取,从而导致崩溃。

漏洞等级

高危

影响范围

Apache HTTP Server <= 2.4.57


修复建议

1.升级版本:

目前该漏洞已经修复,受影响用户可升级到Apache HTTP Server 2.4.58。


2.下载链接:


https://httpd.apache.org/download.cgi


临时措施

暂无。


3. 通用建议:

定期更新系统补丁,减少系统漏洞,提升服务器的安全性。


加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。


使用企业级安全产品,提升企业的网络安全性能。


加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。


启用强密码策略并设置为定期修改。


4. 参考链接

https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2023-31122


https://svn.apache.org/viewvc?view=revision&revision=1912993


https://www.openwall.com/lists/oss-security/2023/10/19/4



声明

本安全公告仅用来描述可能存在的安全问题,江苏保旺达星罗网络空间安全实验室不为此安全公告提供任何保证或承诺。因传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失均由使用者本人负责,江苏保旺达星罗网络空间安全实验室以及安全公告作者不为此承担任何责任。



江苏保旺达/Profile 

公司以“创造更安全的数字未来"为使命,基于自主创新技术做精做深全系数据安全产品,加快产品标准化、国产化、云化、原子化和能力开放共享,为客户提供安全、合规、全生命周期、全业务场景的数据安全整体解决方案和服务,为企业数字化转型提供数字安全保障。



创造更安全的数字未来 身份与访问安全 · 数据安全 · 安全管理与运营 · 安全服务 · 军工保密 查看更多