Я читал о ПРЕСТУПЛЕНИЕ атака на сжатие TLS (CVE-2012-4929, CRIME является преемником атаки BEAST на ssl & tls), и я хочу защитить свои веб-серверы от этой атаки с помощью отключение сжатия SSL, который был добавлен в Apache 2.2.22 (см. Ошибка 53219).
Я использую Scientific Linux 6.3, который поставляется с httpd-2.2.15. Исправления безопасности для исходных версий httpd 2.2 должны быть перенесены в эту версию.
# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64
# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built: Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9
Я попытался SSLCompression выключен в моей конфигурации, но это приводит к следующему сообщению об ошибке:
# /etc/init.d/httpd restart
Stopping httpd: [ OK ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
[FAILED]
Можно ли отключить SSLCompression с этой версией веб-сервера Apache?
4 марта 2013 г. Red Hat предоставила обновленные пакеты OpenSSL, которые решают эту проблему.. Вы можете получать их через обычные каналы обновления.
Первоначальный ответ был:
Red Hat не предоставила обновленный пакет, обеспечивающий эту функциональность., хотя есть обходной путь. Отредактируйте /etc/sysconfig/httpd файл и добавьте в него эту строку:
export OPENSSL_NO_DEFAULT_ZLIB=1
Затем перезапустите Apache:
service httpd restart
Это приведет к тому, что OpenSSL, который предоставляет криптографические функции для Apache, не будет предлагать сжатие.