Um den OPTIONSBLEED-Exploit in den Griff zu bekommen, denke ich über verschiedene Methoden nach.
So deaktivieren Sie die HTTP-Methode OPTIONS. So wenden Sie CVE-2017-9798 an. CVE-2017-9798 klingt nicht nach einer langfristigen Lösung, da es den Server nur vor der Ausnutzung von .htaccess-Dateien schützt.
Eine langfristigere Lösung besteht darin, die HTTP-Methode OPTIONS auf Apache-Boxen zu deaktivieren.
Allerdings bin ich mir nicht sicher, welche Auswirkungen es aus Sicht des Kunden hätte, wenn die HTTP-Methode OPTIONS deaktiviert würde.
Bitte weisen Sie mich in die richtige Richtung.
Antwort1
DerEmpfohlene Abhilfeist, Ihre Apache-Server-Software zu aktualisieren. Nachfolgend finden Sie ein Zitat eines Apache-Entwicklers, deranalysierte die Schwachstelle:
Es ist nicht möglich, diesen Defekt bei nicht vertrauenswürdigen/böswilligen .htaccess-Autoren zu vermeiden, ohne .htaccess-Dateien zu deaktivieren, Patches durchzuführen oder auf Version 2.4.28 zu aktualisieren.
Durch das Deaktivieren OPTIONSwird das Problem nicht behoben. Tatsächlich kann es das Problem sogar verschlimmern, da das Problem dadurch ausgelöst wird, dass sich in einer .htaccessDatei HTTP-Methoden befinden, die nicht vom Stamm-Webserver konfiguriert wurden.