「运维」「漏洞整改」“远程WWW服务支持TRACE请求”漏洞整改方法

前不久项目定期漏洞扫描出现两个漏洞：

ApacheHTTPServer安全漏洞(CVE-2020-1934)

ApacheHTTPServer输入验证错误漏洞(CVE-2020-1927)

这两个漏洞详情明确表示Apache HTTP Server 2.4.0版本至2.4.41版本中存在安全漏洞，故对应用进行升级即可，我将Httpd升级至最新的2.4.43版本后复扫，结果显示着两个漏洞已经修复。

但是出现另外一个漏洞：名称叫“远程WWW服务支持TRACE请求”提供的解决办法是“管理员应禁用WWW服务对TRACE请求的支持”，单纯这样一句话没什么作用，具体怎样做不太清楚。

【详细描述】

远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求，该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求，结合其它浏览器端漏洞，有可能进行跨站脚本攻击，获取敏感信息，比如cookie中的认证信息，这些敏感信息将被用于其它类型的攻击。

【解决办法】

管理员应禁用WWW服务对TRACE请求的支持。 IIS URLScan Apache Source Code Modification Mod_Rewrite Module RewriteEngine on RewriteCond {REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F]

于是上网搜了一下：漏洞是利用apache服务器的rewrite功能，对TRACE请求进行拦截，处理方法是将apache http 的配置文件少许改动并重启即可。得到答案之后想起这个漏洞初次扫描结果里面没有，其实是原本也有出现过这个漏洞且已经修复过的，由于修复过程也比较简单，没有记录，今天还是记录一下，以免后期再遇到此类问题还需重新查询资料，同样也可以给遇到该问题的运维小伙伴一个操作指引。方法如下：

【操作理论指引】

方法一：直接修改httpd.conf配置文件后重启应用

方法二：先停应用，修改httpd.conf配置，最后启用

针对不同版本修改httpd.conf配置方式不同，详情如下

查看httpd版本命令：

# httpd -v

【修改httpd.conf文件】

v 对于2.0.55以上版本的apache服务器，方法比较简单：

编辑httpd.conf文件，添加如下配置即可：

# cd /usr/local/httpd-2.4.43/conf

# vi httpd.conf

TraceEnable off

v 对于非2.0.55以上版本的apache服务器：

# cd /usr/local/httpd-2.4.43/conf

编辑httpd.conf文件

# 首先，激活rewrite模块(去掉符号#)

LoadModule rewrite_module modules/mod_rewrite.so

# 启用Rewrite引擎

RewriteEngine On

# 对Request中的Method字段进行匹配：^TRACE 即以TRACE字符串开头

RewriteCond %{REQUEST_METHOD} ^TRACE

# 定义规则：对于所有格式的来源请求，均返回[F]-Forbidden响应

RewriteRule .* - [F]

【停止Apache服务（以root权限登录）】

# cd /usr/local/httpd-2.4.43/bin

# ./apachectl stop

或直接service httpd sttop

【启动Apache服务（以root权限登录）】

# cd /usr/local/httpd-2.4.43/bin

# ./apachectl start

或直接 service httpd start

【直接重启Apache服务（以root权限登录）】

#service httpd restart

【最后检查应用启用情况】

最后记得ps -ef|grep httpd 检查一下应用是否已有正常启用的进程

【我的实操步骤】

# httpd -v //查看版本，版本为2.4.43

# cd /usr/local/httpd-2.4.43/conf //进入配置文件目录

# vi httpd.conf //进行编辑

TraceEnable off //最末尾添加该项配置

# service httpd restart //重启httpd应用

# ps -ef_grep httpd //检查重启后的应用进程