Print
카테고리: [ Apache HTTP Server ]
조회수: 2338

 

Apache 2.4.25 이후 버전부터는 보안성 강화로 인해,

HttpProtocolOptions Strict 설정이 기본 적용 됩니다.

이 설정으로 인해, 보통 “\n” “\n\n” 등이 아닌 “\r\n”(CRLF) 만 줄바꿈으로 판단하게 됩니다.

또한 whitespace(공백)을 disallow 하기에, 요청 url에 공백이나 공백이 포함된 파일명 같은 것이 있다면 400이 발생할 수 있습니다.

이것은 “HttpProtocolOptions Unsafe” 설정을 추가하여 해결할 수 있습니다.

 

# 취약점

“Apache HTTP Request Parsing Whitespace Defects (CVE-2016-8743)”

관련 취약점: https://httpd.apache.org/security/vulnerabilities_24.html

 

# 추가가 필요한 설정(취약점에 노출 됨)

HttpProtocolOptions Unsafe