漏洞描述
Apache HTTP Server是阿帕奇(Apache)基金会的一款开源网页服务器。 Apache HTTP Server 存在环境问题漏洞,该漏洞源于 Apache HTTP Server 在丢弃请求正文时无法关闭入站连接,从而导致请求夹带(request smuggling)。
基本信息
· CVE编号:CVE-2022-22720
· 漏洞类型:敏感信息泄露
· 危险等级:高危
· 受影响应用版本:Apache HTTP Server <= 2.4.52
· 检测方式:版本对比
· 公布时间: 2022-03-14
· CVSS评分: 8
· CVSS详情: AV:N/AC:L/Au:N/C:P/I:P/A:P
修复建议
1.将 httpd 升级到 2.4.53 及以上版本,下载地址:https://httpd.apache.org/download.cgi
2.若漏洞的检测结果中存在漏洞修复版本,则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。 参照安全补丁功能中该漏洞的修复命令进行升级,或者参照以下修复命令进行升级: CentOS/RHEL/Oracle Linux : sudo yum update -y 需要升级的软件包名(参考检测结果)
SUSE : sudo zypper update -y 需要升级的软件包名(参考检测结果)
Ubuntu/Debian : sudo apt-get update && sudo apt-get install --only-upgrade -y 需要升级的软件包名(参考检测结果)
例:若漏洞的检测结果中主机系统为 RedHat 7,软件包名称为 httpd,当前安装版本为 2.4.6-80.el7,对应漏洞修复版本为 2.4.6-97.el7_9.5,则漏洞修复命令为 sudo yum update -y httpd