Para enfrentar a exploração do OPTIONSBLEED, estou pensando em vários métodos.
Para desativar o método OPTIONS HTTP. Para aplicar CVE-2017-9798. CVE-2017-9798 não parece uma solução de longo prazo, pois apenas protege o servidor da exploração de arquivos .htaccess.
Uma solução de mais longo prazo é desabilitar o método OPTIONS HTTP em Apache Boxes.
Embora eu não tenha certeza do que será impactado do ponto de vista do cliente se o método OPTIONS HTTP estiver desabilitado.
Por favor, aponte-me na direção certa.
Responder1
Ocorreção recomendadaé atualizar o software do servidor Apache. Abaixo está uma citação de um desenvolvedor Apache queanalisou a vulnerabilidade:
Não é possível evitar esse defeito com autores .htaccess não confiáveis/maliciosos sem desabilitar os arquivos .htaccess, corrigir ou atualizar para a versão 2.4.28.
Desativar OPTIONSnão corrigirá o problema. Na verdade, isso pode piorar as coisas, já que o problema é desencadeado por métodos HTTP em um .htaccessarquivo que não são configurados pelo servidor web raiz.