防御“Apache Killer”漏洞

防御“Apache Killer”漏洞

我在很多地方读过(例如)最新的 Apache 漏洞可能会导致大约 60% 的在线网站关闭。

由于 Apache 还没有补丁,那么保护我的服务器免受此类攻击的最佳选择是什么?在谷歌上搜索了一段时间后,我发现了几种不同的解决方案(这个看起来不错),在配置层面。但作为一个对 Apache 不太了解的人,我无法真正判断它们将如何影响我的服务器的性能。

我会很高兴收到任何提示或建议。

答案1

针对此漏洞有已知的解决方法,但这些解决方法均不会对 Web 服务器性能产生重大影响(尤其是与网站瘫痪相比)。
请尝试使用 Google 搜索(或简要阅读全面披露邮件列表档案) 下次提出一个问题。

作为参考,来自讨论该问题的 FD 线程:

选项 1:(Apache 2.0 和 2.2)

     # Drop the Range header when more than 5 ranges.
     # CVE-2011-3192
     SetEnvIf Range (,.*?){5,} bad-range=1
     RequestHeader unset Range env=bad-range

     # optional logging.
     CustomLog logs/range-CVE-2011-3192.log common env=bad-range

选项 2:(也适用于 Apache 1.3)

     # Reject request when more than 5 ranges in the Range: header.
     # CVE-2011-3192
     #
     RewriteEngine on
     RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
     RewriteRule .* - [F]

相关内容