Apache-2.2
Apache - 禁用範圍請求 - 缺點?
由於存在針對 Apache 的字節範圍實現的有效漏洞(CVE-2011-3192,請參見此處),我想禁用它,直到我的發行版(Debian、Ubuntu)附帶官方更新檔。這些網站都是沒有大量下載的“普通”網站。除了無法恢復下載之外,禁用該功能是否有任何缺點?
PS .:我通過
mod_headers
使用以下行啟用和取消設置範圍標頭來禁用該功能:RequestHeader unset Range
一些直接向站點發出請求的應用程序喜歡使用範圍——我相信 Adobe Reader 就是一個很好的例子。
您可以通過 Apache 日誌查找
206
部分響應程式碼,以查看是否有人實際使用您網站的範圍。對於此漏洞利用的解決方法,我會說使用 Apache 推薦的一個,它在請求超過 5 個集合時簡單地阻止範圍 - 這應該不影響任何正常範圍請求,但會阻止惡意請求:
SetEnvIf Range (,.*?){5,} bad-range=1 RequestHeader unset Range env=bad-range