I think you are correct.<br><br>root@helen:/etc# telnet localhost 80<br>Trying ::1...<br>Trying 127.0.0.1...<br>Connected to localhost.<br>Escape character is '^]'.<br>TRACE / HTTP/1.0<br><br>HTTP/1.1 200 OK<br>Date: Thu, 05 Aug 2010 16:06:13 GMT<br>
Server: Apache/2.2.12 (Ubuntu) mod_ssl/2.2.12 OpenSSL/0.9.8g<br>Connection: close<br>Content-Type: message/http<br><br>TRACE / HTTP/1.0<br><br>Connection closed by foreign host.<br><br>The false positive alarms the credit care security scanners.<br>
<br><br><br><div class="gmail_quote">On Thu, Aug 5, 2010 at 10:48 AM, Joe McDonagh <span dir="ltr"><<a href="mailto:joseph.e.mcdonagh@gmail.com">joseph.e.mcdonagh@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div><div></div><div class="h5">On 08/04/2010 09:34 AM, Jim Tarvid wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE<br>
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST<br>
<br>
/etc/apache2/apache2.conf has<br>
Include /etc/apache2/conf.d/ which has<br>
security.dpkg-dist which has<br>
TraceEnable Off<br>
<br>
but TRACE is on<br>
<br>
and why should OPTIONS be on too?<br>
<br>
-- <br>
Rev. Jim Tarvid, PCA<br>
Galax, Virginia<br>
<a href="http://ls.net" target="_blank">http://ls.net</a><br>
<br>
</blockquote></div></div>
I don't think TRACE is actually on, even though it says it is.<br>
<br>
<br>
-- <br><font color="#888888">
--<br>
Joe McDonagh<br>
Operations Engineer<br>
AIM: YoosingYoonickz<br>
IRC: joe-mac on freenode<br>
"When the going gets weird, the weird turn pro."<br>
<br>
</font></blockquote></div><br><br clear="all"><br>-- <br>Rev. Jim Tarvid, PCA<br>Galax, Virginia<br><a href="http://ls.net">http://ls.net</a><br><a href="http://drupal.ls.net">http://drupal.ls.net</a><br><br><br>