Уязвимость присутствует во всех версиях Apache. Подробности можно прочесть в официальном отчете разработчиков:
Для устранения уязвимости в Apache 2.x достаточно добавить в глобальную конфигурацию веб-сервера следующий код, удаляющий некорректные заголовки:
Для лентяев (апач + дебиан)
a2enmod headers
a2enmod setenvif
и добавить в файл /etc/apache2/httpd.conf или в /etc/apache2/apache2.conf после KeepAliveTimeout
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-rangeВ Apache 1.3 уязвимость может быть закрыта при помощи mod_rewrite в конфигурации виртуального хоста, либо в файле .htaccess:
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]Если Вы администрируете свой сервер самостоятельно – при необходимости, наши специалисты готовы оказать помощь в нейтрализации уязвимости в рамках платного почасового администрирования. Если Ваше оборудование находится под администрированием наших технических специалистов – беспокоиться не нужно, наши администраторы при необходимости самостоятельно проведут все работы.
Просмотров: 966