httpd で HTTP TRACE リクエストを拒否または無効にする

Solution Verified - Updated -

Issue

  • Red Hat Enterprise Linux (RHEL) で http トレースのリクエストを無効にするにはどうすれば良いですか?
  • httpd / apache がリクエストに応答して追跡しているかをテストするにはどうすれば良いですか?
  • セキュリティチームから、CVE-2004-2320 または CVE-2010-0386 の影響を受けることが報告されました。この問題を解決するにはどうすれば良いですか?
  • EWS 2.0 を実行していますが、オペレーションがサーバーでセキュリティ監査を実行し、Apache HTTP TRACE / TRACK Methods Allowed 問題の影響を受けることを確認しました。これを修正するにはどうすれば良いですか?
  • セキュリティチームから HTTP TRACE Method Enabled 脆弱性が報告されました。これはどのように対処すれば良いですか?
  • サーバーでは、TRACE メソッドと TRACK メソッドが有効になっていることが確認されました。TRACE と TRACK は、web アプリケーションをデバッグするのに使用される HTTP メソッドです。このメソッドは悪意のあるユーザーに利用され、Cross-site Tracing 攻撃が実行される可能性があります。この攻撃は、認証トークンの保護を回避するために使用されます。

Environment

  • 以下に同梱される Apache HTTP Server (httpd)
    • Red Hat Enterprise Linux (RHEL)
    • Red Hat Software Collections (RHSCL)
    • Red Hat JBoss Web Server (EWS/JWS)

Subscriber exclusive content

A Red Hat subscription provides unlimited access to our knowledgebase of over 48,000 articles and solutions.

Current Customers and Partners

Log in for full access

Log In