由于针对Apache的字节范围实现(CVE-2011-3192, 请参阅此处 )有一个可用的漏洞,我想禁用它,直到我的发行版(Debian,Ubuntu)发行官方补丁。 这些网站都是没有大量下载的“正常”网站。 除了无法恢复的下载function,禁用该function还有什么缺点吗?
PS:我通过启用mod_headers和mod_headers设置范围头使用下面的行禁用该function:
RequestHeader unset Range
一些直接向站点发出请求的应用程序喜欢使用范围 – 我相信Adobe Reader就是一个很好的例子。
您可以通过您的Apache日志来查找206部分响应代码,以查看是否有人实际使用您的网站的范围。
对于这个漏洞的解决方法,我想说的是使用Apache推荐的解决scheme,当请求超过5个请求时,它只是阻止范围 – 这应该保持任何正常的范围请求不受影响,但阻止恶意的:
SetEnvIf Range (,.*?){5,} bad-range=1 RequestHeader unset Range env=bad-range