Apache サーバーで OPTIONS HTTP メソッドを無効にするとどのような影響がありますか?

tag-icon tag-icon linux apache-http-server
Apache サーバーで OPTIONS HTTP メソッドを無効にするとどのような影響がありますか?

OPTIONSBLEED エクスプロイトに対処するために、さまざまな方法を考えています。

OPTIONS HTTP メソッドを無効にします。CVE-2017-9798 を適用します。CVE-2017-9798 は、.htaccess ファイルの悪用からサーバーを保護するだけなので、長期的な解決策にはならないようです。

より長期的な解決策としては、Apache Boxes で OPTIONS HTTP メソッドを無効にすることです。

ただし、OPTIONS HTTP メソッドが無効になっている場合、顧客の立場からどのような影響があるかはわかりません。

正しい方向を指し示してください。

答え1

推奨される修復Apacheサーバーソフトウェアを更新することです。以下はApache開発者からの引用です。脆弱性を分析した:

.htaccess ファイルを無効にしたり、パッチを適用したり、バージョン 2.4.28 にアップグレードしたりしない限り、信頼できない/悪意のある .htaccess 作成者によるこの欠陥を回避することはできません。

OPTIONS無効にしても問題は解決しません。実際、.htaccessルート Web サーバーによって構成されていないファイル内の HTTP メソッドによって問題が発生するため、無効にすると問題が悪化する可能性があります。

関連情報