Apache - 禁用范围请求 - 缺点?

Apache - 禁用范围请求 - 缺点?

由于存在针对 Apache 字节范围实现的有效漏洞(CVE-2011-3192,看这里),我想禁用它,直到我的发行版 (Debian、Ubuntu) 附带官方补丁。这些网站都是“正常”网站,不需要大量下载。除了无法恢复下载之外,禁用该功能还有什么缺点吗?

mod_headers附言:我通过以下行启用和取消设置范围标头来禁用该功能:

RequestHeader unset Range

答案1

一些直接向网站发出请求的应用程序喜欢使用范围 - 我相信 Adob​​e Reader 就是一个很好的例子。

您可以通过 Apache 日志查找206部分响应代码来查看是否有人实际使用您网站的范围。

对于这个漏洞的解决方法,我建议使用 Apache 推荐的方法,当请求的集合超过 5 个时,它会简单地阻止范围 - 这应该不会影响任何正常的范围请求,但会阻止恶意请求:

SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

相关内容