北京赛克艾威科技有限公司 2025-07-10
Apache HTTP Server是一个开源的网页服务器软件,广泛用于互联网上的网站托管。在Apache HTTP Server 2.4.35至2.4.63版本中的某些mod\_ssl配置下,受信任的客户端可能利用TLS 1.3会话恢复机制绕过虚拟主机的访问控制。当配置多个虚拟主机时,如果每个虚拟主机都限制使用一组不同的受信任客户端证书(例如,使用不同的SSLCACertificateFile/Path设置),配置将受到影响。在这种情况下,如果两个虚拟主机都没有启用SSLStrictSNIVHostCheck,受信任的客户端访问一个虚拟主机时可能能够访问另一个虚拟主机。
暂无