关于Apache HTTP Server越界读取漏洞（CVE-2023-31122）的安全预警

一、 基本情况

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器，由于其具有跨平台性和安全性，被广泛使用，它是最流行的Web服务器端软件之一。

二、 漏洞描述

Apache HTTP Server中修复了一个越界读取漏洞（CVE-2023-31122），其CVSSv3评分为9.1。

该漏洞存在于Apache HTTP Server 的 mod_macro 模块中，由于在处理超长的宏时，不会添加空字节终止符，导致越界读取，从而导致崩溃。

三、 影响范围

Apache HTTP Server <= 2.4.57

四、 修复建议

目前该漏洞已经修复，受影响用户可升级到Apache HTTP Server 2.4.58。

下载链接：

 https://httpd.apache.org/download.cgi

五、 参考链接

https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2023-31122

https://svn.apache.org/viewvc?view=revision&revision=1912993

https://www.openwall.com/lists/oss-security/2023/10/19/4