Apache-範囲要求を無効にする-欠点?
Apacheのバイト範囲の実装(CVE-2011-3192、 ここを参照 )に対して有効なエクスプロイトがあるため、公式パッチがディストリビューション(Debian、Ubuntu)に同梱されるまで無効にします。これらのサイトはすべて「通常の」Webサイトであり、大きなダウンロードはありません。ダウンロードを再開できない以外に、この機能を無効にすることに不利な点はありますか?
PS:mod_headersを有効にし、次の行を使用して範囲ヘッダーの設定を解除することで、この機能を無効にしています。
RequestHeader unset Range
サイトに直接リクエストを行う一部のアプリケーションは、範囲を使用するのが好きです-AdobeReaderが良い例だと思います。
Apacheログをgrepして、206部分応答コードを探し、誰かが実際にサイトの範囲を使用しているかどうかを確認できます。
このエクスプロイトの回避策として、Apacheが推奨するものを使用します。これは、5セットを超えるリクエストがあった場合に範囲をブロックするだけです。これにより、通常の範囲リクエストは影響を受けませんが、悪意のあるリクエストはブロックされます。
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range