由于存在针对 Apache 字节范围实现的有效漏洞(CVE-2011-3192,看这里),我想禁用它,直到我的发行版 (Debian、Ubuntu) 附带官方补丁。这些网站都是“正常”网站,不需要大量下载。除了无法恢复下载之外,禁用该功能还有什么缺点吗?
mod_headers附言:我通过以下行启用和取消设置范围标头来禁用该功能:
RequestHeader unset Range
答案1
一些直接向网站发出请求的应用程序喜欢使用范围 - 我相信 Adobe Reader 就是一个很好的例子。
您可以通过 Apache 日志查找206部分响应代码来查看是否有人实际使用您网站的范围。
对于这个漏洞的解决方法,我建议使用 Apache 推荐的方法,当请求的集合超过 5 个时,它会简单地阻止范围 - 这应该不会影响任何正常的范围请求,但会阻止恶意请求:
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range