RandCo

Désactiver la méthode TRACE sur Apache

SR juillet 28th, 2009

Par défaut sous Apache, la méthode TRACE est activée ce qui peut conduire à des vulnérabilités de type XSS :

# curl -X OPTIONS http://127.0.0.1 -i
HTTP/1.1 200 OK
Date: Tue, 28 Jul 2009 14:04:13 GMT
Server: Apache
Allow: GET,HEAD,POST,OPTIONS,TRACE
Content-Length: 0
Content-Type: text/html

En ajoutant la directive TraceEnable à Off dans le fichier de conf apache 2.x :

TraceEnable Off

on teste le bon support :

# apachectl -t
Syntax OK

puis on relance Apache et on teste de nouveau :

# apachectl restart
# curl -X OPTIONS http://127.0.0.1 -i
HTTP/1.1 200 OK
Date: Tue, 28 Jul 2009 14:21:42 GMT
Server: Apache
Allow: GET,HEAD,POST,OPTIONS
Content-Length: 0
Content-Type: text/html

Voilà !

Comments(0)

Trackback URI | Comments RSS

You must be logged in to post a comment.

Twitter
- VMWare Server sur Ubuntu 10.0.4 : le guide (patch nécessaire) : http://risesecurity.org/2010/04/02/vmware-server-2-0-2-update-patch-2/ 24/06/2010
- Enfin ! Le drag&drop de pièces jointes est possible dans Gmail & Google Apps ... :) 17/04/2010
- HP acquiert 3Com : surtout TippingPoint (leader ds les IPS) et la division H3C. http://bit.ly/clvDHT 14/04/2010
Articles récents
Archives
juillet 2009

L Ma Me J V S D

« juil août »

1 2 3 4 5

6 7 8 9 10 11 12

13 14 15 16 17 18 19

20 21 22 23 24 25 26

27 28 29 30 31
Recherche pour:
Mots-clefs
apache blade certificat CheckPoint Cisco DPI firewall ftp http ipchains IPSEC linux netfilter proxy routeur snmp ssl switches tftp ubuntu visio VPN wordpress
Méta

Un blog pour notre équipe

Désactiver la méthode TRACE sur Apache

Leave a Reply

Twitter

Articles récents

Archives

Mots-clefs

Méta

juillet 2009
L	Ma	Me	J	V	S	D
« juil				août »
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31