※ 内容に誤りがあればご指摘お待ちしております。 ※
影響を受ける Apache HTTP サーバのバージョンは、2.2.34 以下の2.2.x、2.4.27 以下の2.4.x です。この脆弱性に対する更新プログラムは、多くの Linux ディストリビューションで既に公開されています。
CentOS 6 だとyum update後は
httpd-2.2.15-60.el6 と、2.2.34より低いが、独自でパッチが当たっているのかな。
CentOS 5 をまだ使っている場合は .htaccessで <Limit>ディレクティブを使っていないことを確認。
OptionsBleedが該当する設定について
.htaccess 内に Limit ディレクティブを記述している場合とのこと。
Limitディレクティブとは以下のようなものです。
.htaccess
<Limit POST PUT DELETE>
Require valid-user
</Limit>
Limitディレクティブとは、POSTしか受け付けないとか指定ができる項目のこと。
ちなみにメソッド名は 大文字小文字を区別します。
アクセス制限の記述(Order, Allow, Deny) は今回の対象ではないので誤解しないように。
- SonicALERT: "OptionBleed" memory disclosure vulnerability in Apache (Sep 22, 2017)などを見ると、 以下のようなサンプルを目にする。
サンプル
Allow: ,GET,,,POST,OPTIONS,HEAD,,
Allow: POST,OPTIONS,,HEAD,:09:44 GMT
Allow: GET,HEAD,OPTIONS,,HEAD,,HEAD,,HEAD,, HEAD,,HEAD,,HEAD,,HEAD,POST,,HEAD,, HEAD,!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"
Allow: GET,HEAD,OPTIONS,=write HTTP/1.0,HEAD,,HEAD,POST,,HEAD,TRACE
Allow と目にするとすぐアクセス制限の記述(Order, Allow, Deny)を思い出しますが、今回は関係ないので誤解なきよう。
.htaccess
order allow,deny
allow from all
deny from ppp01.aaa.ne.jp
deny from .bbb.co.jp
deny from 130.90.