Apache-Webserver: Notfallpatch gegen Attacken veröffentlicht

Alle Heise-Foren heise online Kommentare Apache-Webserver: Notfallpatc… Bedingung "require all denied"

Ansicht umschalten

tempos

mehr als 1000 Beiträge seit 07.05.2003

08.10.2021 10:47

Bedingung "require all denied"

Für die ganzen Exploits ist Bedingung das für Dateien außerhalb der "Serverroot" kein "denied" gesetzt ist. In Debian basierten steht in der Regel folgendes in der apache.conf:

# Sets the default security model of the Apache2 HTTPD server. It does
# not allow access to the root filesystem outside of /usr/share and /var/www.
# The former is used by web applications packaged in Debian,
# the latter may be used for local directories served by the web server. If
# your system is serving content from a sub-directory in /srv you must allow
# access here, or in any related virtual host.
<Directory />
Options FollowSymLinks
AllowOverride None
Require all denied
</Directory>

Das sollte NICHT geändert werden, dann besteht in diesem Fall auch keine akute Gefahr.

Bewerten

- +

Thread-Anzeige einblenden

- 
- Beitrag
- 
- 
- Threads
- 

Ansicht umschalten

Nutzungsbedingungen

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Bedingung "require all denied"