Workaround:
Disallow per-directory configuration files by only having "AllowOverride None" directives in your httpd.conf file, and restart the web server.
でも、
Impact:
Apart from global configuration files, Apache allows per-directory configuration files. Therefore, the bug can be triggered by any regular user through specially crafted ".htaccess" files.
とあるので、httpd.confか.htaccessからのみ発現する不具合のようです。したがって、
内部からやられる可能性がなく、httpd.conf/.htaccessともに正常であれば、
そのままでも大丈夫(全くぞっとしませんが)なのかもしれません。
ちらっとソースも見ましたが、1行が1024バイト未満のhttpd.conf or .htaccessならば
問題ないように見えます。
#このあたり、かなり推測入ってますので間違ってたらすみません。
#問題の*olineがどこからやってくるのか(たぶんEAPI?)
#そこまでは追えなかったので、詳しい方フォロー願います。
とりあえず逃げるには (スコア:0)
Re:とりあえず逃げるには (スコア:2, 参考になる)
AllowOverride Noneすれば問題のコードにたどり着くことはないようです。
でも、
とあるので、httpd.confか.htaccessからのみ発現する不具合のようです。したがって、
内部からやられる可能性がなく、httpd.conf/.htaccessともに正常であれば、
そのままでも大丈夫(全くぞっとしませんが)なのかもしれません。
ちらっとソースも見ましたが、1行が1024バイト未満のhttpd.conf or .htaccessならば
問題ないように見えます。
#このあたり、かなり推測入ってますので間違ってたらすみません。
#問題の*olineがどこからやってくるのか(たぶんEAPI?)
#そこまでは追えなかったので、詳しい方フォロー願います。
個人的にはmod_sslは縁のない代物だったのであまり気にしていませんでしたが、
いや、勉強になりました。