防御“Apache Killer”漏洞

Question

针对此漏洞有已知的解决方法，但这些解决方法均不会对 Web 服务器性能产生重大影响（尤其是与网站瘫痪相比）。
请尝试使用 Google 搜索（或简要阅读全面披露邮件列表档案）下次前提出一个问题。

作为参考，来自讨论该问题的 FD 线程：

选项 1：（Apache 2.0 和 2.2）

     # Drop the Range header when more than 5 ranges.
     # CVE-2011-3192
     SetEnvIf Range (,.*?){5,} bad-range=1
     RequestHeader unset Range env=bad-range

     # optional logging.
     CustomLog logs/range-CVE-2011-3192.log common env=bad-range

选项 2：（也适用于 Apache 1.3）

     # Reject request when more than 5 ranges in the Range: header.
     # CVE-2011-3192
     #
     RewriteEngine on
     RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
     RewriteRule .* - [F]

Answer 1

针对此漏洞有已知的解决方法，但这些解决方法均不会对 Web 服务器性能产生重大影响（尤其是与网站瘫痪相比）。
请尝试使用 Google 搜索（或简要阅读全面披露邮件列表档案）下次前提出一个问题。

作为参考，来自讨论该问题的 FD 线程：

选项 1：（Apache 2.0 和 2.2）

     # Drop the Range header when more than 5 ranges.
     # CVE-2011-3192
     SetEnvIf Range (,.*?){5,} bad-range=1
     RequestHeader unset Range env=bad-range

     # optional logging.
     CustomLog logs/range-CVE-2011-3192.log common env=bad-range

选项 2：（也适用于 Apache 1.3）

     # Reject request when more than 5 ranges in the Range: header.
     # CVE-2011-3192
     #
     RewriteEngine on
     RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
     RewriteRule .* - [F]

防御“Apache Killer”漏洞

答案1

相关内容