Мужики помогите разобраться, не пойму что за шутка. На нескольких внутренних серваках стоит Apache 1.3.32 с модулями:
#./httpd -l
Compiled-in modules:
http_core.c
mod_log_config.c
mod_mime.c
mod_dir.c
mod_cgi.c
mod_alias.c
mod_access.c
mod_auth.c
mod_ssl.c
mod_security.c
mod_perl.c
suexec: disabled; invalid wrapper /usr/local/apache/bin/suexec
При проверке сканерами безопастности (NeWT и Xspider) по полной, получил следующее сообщение и инструкции к исправлению:
Your webserver supports the TRACE and/or TRACK methods. TRACE and TRACK are HTTP methods which are used to debug web server connections. It has been shown that servers supporting this method are subject to cross-site-scripting attacks, dubbed XST for "Cross-Site-Tracing", when used in conjunction with various weaknesses in browsers. An attacker may use this flaw to trick your legitimate web users to give him their credentials.
Solution: Disable these methods.
If you are using Apache, add the following lines for each virtual host in your configuration file :
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
Добавляю приведённые строки
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
в конфиг в общий раздел виртуальных серверов, сохраняю, проверяю синтаксис
./httpd -t
./httpd -T
всё ок, но при перезапуске апача получаю:
#./apachectl startssl
Syntax error on line 372 of /usr/local/apache/conf/httpd.conf:
Invalid command 'RewriteEngine', perhaps mis-spelled or defined by a
module not included in the server configuration
#./apachectl startssl: httpd could not be started
Если я правильно понял, то эта бага проявляется при включённом модуле mod_rewrite, но как они нешли её у меня если у меня нету этого модуля?
Как правильно поступить?
