maf*_*aff 4 security exploit http-headers apache-2.2
由于有一个针对 Apache 字节范围实现的有效漏洞(CVE-2011-3192,请参见此处),我想禁用它,直到我的发行版(Debian、Ubuntu)随附官方补丁。这些网站都是没有大量下载的“普通”网站。除了无法恢复下载之外,禁用该功能还有什么缺点吗?
PS。:我通过mod_headers使用以下行启用和取消设置范围标题来禁用该功能:
RequestHeader unset Range
一些直接向站点发出请求的应用程序喜欢使用范围 - 我相信 Adobe Reader 是一个很好的例子。
您可以通过 Apache 日志查找206部分响应代码,以查看是否有人实际使用了您站点的范围。
对于此漏洞的解决方法,我会说使用 Apache 推荐的方法,它会在请求超过 5 个集合时简单地阻止范围 - 这应该不会影响任何正常范围请求,但会阻止恶意请求:
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
| 归档时间: |
|
| 查看次数: |
7202 次 |
| 最近记录: |