Разработчики проекта Apache опубликовали новое уведомление в котором указали на то, что эксплуатируемая через заголовок Range уязвимостьпроявляется так же и для устаревшего заголовка 'Request-Range', поддержка которого оставлена для обеспечения совместимости с Netscape Navigator 2-3 и MSIE 3.

В связи с этим, ранее приведенные методы защиты неэффективны. В дополнение к ним следует добавить в конфигурацию Apache директиву "RequestHeader unset Request-Range" для блокирования работы заголовка Request-Range. Обновление с исправлением уязвимости пока не выпущено, но в SVN-репозиторий уже добавлен патч.

Новые улученные правила блокировки атаки (по сравнению с прошлым вариантом увеличена производительность и учтены новые типы проведения атаки):

Для Apache 2.2:

          SetEnvIf Range (?:,.*?){5,5} bad-range=1
          RequestHeader unset Range env=bad-range
          RequestHeader unset Request-Range
          CustomLog logs/range-CVE-2011-3192.log common env=bad-range

Для Apache 2.x и 1.3:

          RewriteEngine on
          RewriteCond %{HTTP:range} !(bytes=[^,]+(,[^,]+){0,4}$|^$)
          RewriteRule .* - [F]
          RequestHeader unset Request-Range