我已经阅读了很多地方(例如)最新的Apache漏洞,可以closures大约60%的在线网站。
由于Apache目前还没有补丁,因此防御这种攻击的最佳select是什么? 在search了一段时间之后,我发现在configuration层面有几个不同的解决scheme(这个看起来不错) 。 但作为一个不是真正的Apache的人,我不能真正判断他们将如何影响我的服务器的性能。
我会很高兴的任何提示或build议。
这个漏洞已知的解决方法,没有一个对Web服务器性能有重大影响(特别是当你的网站被击倒时)。
在提问之前,请尝试Googlesearch(或简要阅读完整披露邮件列表存档 )。
作为参考,从FD线程讨论这个问题:
选项1 🙁 Apache 2.0和2.2)
# Drop the Range header when more than 5 ranges. # CVE-2011-3192 SetEnvIf Range (,.*?){5,} bad-range=1 RequestHeader unset Range env=bad-range # optional logging. CustomLog logs/range-CVE-2011-3192.log common env=bad-range 选项2 :(也适用于Apache 1.3)
# Reject request when more than 5 ranges in the Range: header. # CVE-2011-3192 # RewriteEngine on RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$) RewriteRule .* - [F]