Falha de Segurança Apache

Recentemente um Snep em um cliente nosso apresentou uma falha de segurança, quando um agente externo conseguiu mudar no arquivo /var/www/html/snep/includes/setup.conf o parâmetro language = "pt_BR" para language ="c:/Windows/system.ini".

Isso ocorreu porque o apache esta deixando agentes externos ter acesso à esse arquivo pelo http://ipDoSeuSnep/snep/includes/setup.conf

Seguindo informações do Daian Conrad mudamos os parâmetros do arquivo /etc/apache2/apache2.conf

De: <FilesMatch "^.ht"> Require all denied </FilesMatch>

Para: <FilesMatch "^.ht"> Require all denied </FilesMatch> <FilesMatch ".conf$"> Require all denied </FilesMatch> <DirectoryMatch "/var/www/html/snep/lib"> Require all denied </DirectoryMatch>

Acredito que essa correção seja necessária para as próximas versões, pois assim deixa o ambiente menos suscetíveis a ataques de agentes externos.

Segue link da nota que fiz para ficar mais explicado: https://www.evernote.com/shard/s228/sh/a46969fe-c23e-4f8b-b87c-f6598f8b2723/9c5d97a9885b44cc