LoginSignup
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@tukiyo3

.htaccessに<Limit>を書くと古いバージョンのApacheでOptionsBleedの対象となりえる

Last updated at Posted at 2017-10-08

※ 内容に誤りがあればご指摘お待ちしております。 ※

影響を受ける Apache HTTP サーバのバージョンは、2.2.34 以下の2.2.x、2.4.27 以下の2.4.x です。この脆弱性に対する更新プログラムは、多くの Linux ディストリビューションで既に公開されています。

CentOS 6 だとyum update後は
httpd-2.2.15-60.el6 と、2.2.34より低いが、独自でパッチが当たっているのかな。
CentOS 5 をまだ使っている場合は .htaccessで <Limit>ディレクティブを使っていないことを確認。

OptionsBleedが該当する設定について

.htaccess 内に Limit ディレクティブを記述している場合とのこと。
Limitディレクティブとは以下のようなものです。

.htaccess
<Limit POST PUT DELETE>
Require valid-user
</Limit>

Limitディレクティブとは、POSTしか受け付けないとか指定ができる項目のこと。
ちなみにメソッド名は 大文字小文字を区別します。

アクセス制限の記述(Order, Allow, Deny) は今回の対象ではないので誤解しないように。

サンプル
Allow: ,GET,,,POST,OPTIONS,HEAD,,
Allow: POST,OPTIONS,,HEAD,:09:44 GMT
Allow: GET,HEAD,OPTIONS,,HEAD,,HEAD,,HEAD,, HEAD,,HEAD,,HEAD,,HEAD,POST,,HEAD,, HEAD,!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"
Allow: GET,HEAD,OPTIONS,=write HTTP/1.0,HEAD,,HEAD,POST,,HEAD,TRACE

Allow と目にするとすぐアクセス制限の記述(Order, Allow, Deny)を思い出しますが、今回は関係ないので誤解なきよう。

.htaccess
order allow,deny
allow from all
deny from ppp01.aaa.ne.jp
deny from .bbb.co.jp
deny from 130.90.
2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?