Jak wyłączyć kompresję SSLC na Apache httpd 2.2.15? (Obrona przed przestępczością / bestią)

14

Czytałem o ataku CRIME przeciwko kompresji TLS ( CVE-2012-4929 , CRIME jest następcą ataku BEAST przeciwko ssl i tls) i chcę chronić moje serwery internetowe przed tym atakiem poprzez wyłączenie kompresji SSL , która została dodana do Apache 2.2.22 (patrz Bug 53219 ).

Używam Scientific Linux 6.3, który jest dostarczany z httpd-2.2.15. Poprawki zabezpieczeń dla wcześniejszych wersji httpd 2.2 powinny zostać przeniesione do tej wersji.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

Próbowałem wyłączyć kompresję SSLC w mojej konfiguracji, ale powoduje to następujący komunikat o błędzie:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

Czy w tej wersji serwera Apache Webserver można wyłączyć kompresję SSLC?

Stefan Lasiewski
źródło

Odpowiedzi:

21

4 marca 2013 r. Red Hat dostarczył zaktualizowane pakiety OpenSSL, które rozwiązują ten problem . Możesz je otrzymywać za pośrednictwem zwykłych kanałów aktualizacji.

Oryginalna odpowiedź brzmiała:


Red Hat nie dostarczył zaktualizowanego pakietu, który zapewnia tę funkcjonalność , chociaż dostępne jest obejście tego problemu. Edytuj /etc/sysconfig/httpdplik i dodaj do niego ten wiersz:

export OPENSSL_NO_DEFAULT_ZLIB=1

Następnie uruchom ponownie Apache:

service httpd restart

Spowoduje to, że OpenSSL, który zapewnia funkcje szyfrowania dla Apache, nie będzie oferował kompresji.

Michael Hampton
źródło
1
Co z mod_deflate? Czy to też nie powinno być wyłączone?
sjbotha
1
Nie, to nie ma znaczenia.
Michael Hampton