Как отключить SSLCompression на Apache httpd 2.2.15? (Защита от КРЫМ /ЗВЕРЬ)

Я читал о CRIME против сжатия TLS ( CVE -2012-4929 , CRIME является преемником атаки BEAST против ssl & tls), и я хочу защитить свои веб-серверы от этой атаки отключение SSL-сжатия , который был добавлен в Apache 2.2.22 (см. Ошибка 53219 ).

Я запускаю Scientific Linux 6.3, который поставляется с httpd-2.2.15. Исправления безопасности для восходящих версий httpd 2.2 должны быть обращены к этой версии.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

Я попробовал SSLCompression off в моей конфигурации, но что приводит к следующему сообщению об ошибке:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

Можно ли отключить SSLCompression с помощью этой версии Apache Webserver?

12 голосов | спросил Stefan Lasiewski 6 ThuEurope/Moscow2012-12-06T01:00:57+04:00Europe/Moscow12bEurope/MoscowThu, 06 Dec 2012 01:00:57 +0400 2012, 01:00:57

1 ответ


19

4 марта 2013 года Red Hat предоставил обновленные пакеты OpenSSL, которые решают эту проблему . Вы можете получать их через обычные каналы обновления.

Первоначальный ответ:


Red Hat не предоставил обновленный пакет, который предоставляет эту функцию , хотя существует обходное решение. Отредактируйте файл /etc/sysconfig/httpd и добавьте в него следующую строку:

export OPENSSL_NO_DEFAULT_ZLIB=1

Затем перезапустите Apache:

service httpd restart

Это вызовет OpenSSL, который предоставляет криптографические функции для Apache, чтобы не предлагать сжатие.

ответил Michael Hampton 6 ThuEurope/Moscow2012-12-06T01:12:07+04:00Europe/Moscow12bEurope/MoscowThu, 06 Dec 2012 01:12:07 +0400 2012, 01:12:07

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132