.werks/7174

   1 Title: Apache: Disable TRACE and OPTIONS methods
   2 Level: 1
   3 Component: omd
   4 Compatible: compat
   5 Edition: cre
   6 Version: 1.6.0i1
   7 Date: 1550645011
   8 Class: security
   9
  10 The HTTP method TRACE makes some kind of reflection attacks possible and is not
  11 used at all. It has been enabled for the site apache using the option
  12 <tt>TraceEnable Off</tt> in etc/apache/conf.d/security.conf.
  13
  14 The similar TRACK method is not supported by the site apache at all, so it does
  15 not have to be disabled.
  16
  17 A lot of guides recommend to also disable the OPTIONS method for production
  18 servers.  This HTTP method basically reports which HTTP Methods that are
  19 allowed on the web server. In reality, this is rarely used for legitimate
  20 purposes, but it may grant a potential attacker a little bit of help and it
  21 can be considered a shortcut to find another hole. For this reason we also
  22 disabled the OPTIONS method.