Para abordar el exploit OPTIONSBLEED, estoy pensando en varios métodos.
Para deshabilitar el método HTTP OPCIONES. Para aplicar CVE-2017-9798. CVE-2017-9798 no parece una solución a largo plazo, ya que solo protege el servidor de la explotación de archivos .htaccess.
Una solución a más largo plazo es deshabilitar el método HTTP OPCIONES en Apache Boxes.
Aunque, no estoy seguro de qué se vería afectado desde el punto de vista del cliente si el método HTTP OPCIONES estuviera deshabilitado.
Por favor, indíqueme la dirección correcta.
Respuesta1
Elremediación recomendadaes actualizar el software de su servidor Apache. A continuación se muestra una cita de un desarrollador de Apache queanalizó la vulnerabilidad:
No es posible evitar este defecto con autores de .htaccess maliciosos o no confiables sin deshabilitar los archivos .htaccess, aplicar parches o actualizar a la versión 2.4.28.
La desactivación OPTIONSno corregirá el problema. De hecho, puede empeorar las cosas, ya que el problema se desencadena al tener métodos HTTP en un .htaccessarchivo que no están configurados por el servidor web raíz.