Qual é o impacto de desativar o método HTTP OPTIONS em servidores Apache?

Navegue suas respostas
0

Para lidar com a exploração OPTIONSBLEED, estou pensando em vários métodos.

Para desativar o método HTTP OPTIONS. Para aplicar o CVE-2017-9798. O CVE-2017-9798 não parece uma solução de longo prazo, pois protege o servidor contra a exploração de arquivos .htaccess.

Uma solução de longo prazo é desabilitar o método HTTP OPTIONS em Apache Boxes.

Embora, eu não tenha certeza do que será impactado do ponto de vista do cliente, o método HTTP OPTIONS foi desativado?

Por favor, aponte-me na direção certa.

    
por user777048 03.10.2017 / 18:23

1 resposta

2

A remediação recomendada é atualizar seu software de servidor Apache. Abaixo está uma citação de um desenvolvedor do Apache que analisou a vulnerabilidade :

It is not possible to avoid this defect with untrusted/malicious .htaccess authors without disabling .htaccess files, patching or upgrading to version 2.4.28.

Desativar OPTIONS não corrigirá o problema. Na verdade, isso pode piorar ainda mais, já que o problema é acionado por meio de métodos HTTP em um arquivo .htaccess que não é configurado pelo servidor da Web raiz.

    
por 03.10.2017 / 18:54

Tags

Por que vejo um número diferente de pacotes em / usr / share / doc e ao usar o comando dpkg -l? Não tenho certeza se preciso de uma fórmula ou formatação