Apache - desabilitar solicitações de intervalo - desvantagens?

4

Como há uma exploração funcional na implementação do intervalo de bytes do Apache (CVE-2011-3192, veja aqui ), eu gostaria de desativá-lo até que os patches oficiais sejam enviados com minhas distros (Debian, Ubuntu). Os sites são todos sites "normais", sem grandes downloads. Há alguma desvantagem em desativar o recurso além de downloads que não podem ser retomados?

PS .: estou desativando o recurso ativando mod_headers e desativando o cabeçalho do intervalo usando a seguinte linha:

RequestHeader unset Range
    
por maff 25.08.2011 / 13:44

1 resposta

7

Alguns aplicativos que fazem solicitações para sites gostam diretamente de usar intervalos - Acredito que o Adobe Reader seja um bom exemplo.

Você pode percorrer seus registros do Apache procurando 206 códigos de resposta parciais para ver se alguém realmente está usando intervalos para seu site.

Para uma solução alternativa para esse exploit, eu diria que use o recomendado pelo Apache, que simplesmente bloqueia intervalos quando há mais de 5 conjuntos solicitados - o que deve deixar as solicitações normais não afetadas, mas bloquear as mal-intencionadas:

SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
    
por 25.08.2011 / 18:17