結構な騒ぎになってるような感じのSymlink AttacksですがFollowSymLinksを有効にしてるあるいは.htaccessでオーバーライドできる設定にしてると危ないです。

そのあたりは田中さんのブログの記事に詳しく書かれています。

で、対策もFollowSymLinksを無効にするだけでいいのですが自分だけで使ってるApacheじゃないと利用者の.htaccessで Options Allとか+FollowSymLinksしてるかも知れないのでそこも書き換えないといけなくなります。

Apacheにパッチをあてればいいのですが、某社さんではお客様の.htaccessを書き換えたみたいです。いやほんとに大変ですね。

Apache2.2.x用のパッチ
apache22-symlink.patch

 Apache1.3.x用のパッチ
apache13-symlink.patch

誰かの役に立てるかもなのでパッチを置いときます。
このパッチをあてたApacheではFollowSymLinksはSymLinksIfOwnerMatchに置き換えられますので、サーバ利用者の.htaccessを書き換えたり、書き換えるようにお願いする必要がなくなると思います。

探すと他にも2009～2011年頃のパッチがいくつか見つかります。http://files.directadmin.com/services/custombuild/harden-symlinks.patch.2.2.21