Apache-2.2

如何在 Apache httpd 2.2.15 上禁用 SSLCompression?(防禦犯罪/野獸)

  • March 8, 2013

我閱讀了針對 TLS 壓縮的CRIME攻擊(CVE-2012-4929,CRIME 是針對 ssl 和 tls 的 BEAST 攻擊的繼承者),我想通過禁用 SSL Compression來保護我的網路伺服器免受這種攻擊,該攻擊已添加到 Apache 2.2.22(見錯誤 53219)。

我正在執行 httpd-2.2.15 附帶的 Scientific Linux 6.3。httpd 2.2 上游版本的安全修復程序應該向後移植到此版本。

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

我在我的配置中嘗試關閉 SSLCompression,但這會導致以下錯誤消息:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                          [FAILED]

是否可以使用此版本的 Apache Webserver 禁用 SSLCompression?

2013 年 3 月 4 日,Red Hat 提供了更新的 OpenSSL 軟體包來解決這個問題。您可以通過正常的更新渠道接收它們。

原來的答案是:

Red Hat 沒有提供提供此功能的更新包,但有可用的解決方法。編輯/etc/sysconfig/httpd文件並將這一行添加到其中:

export OPENSSL_NO_DEFAULT_ZLIB=1

然後重啟 Apache:

service httpd restart

這將導致為 Apache 提供加密功能的 OpenSSL 不提供壓縮。

引用自:https://serverfault.com/questions/455450

相關問答

Apache-2.2

在 Apache 2.2.x 中禁用 SSL / TLS 壓縮

  • March 8, 2013
檢視問答
Apache-2.2

如何在 Apache 中禁用 TLS 1.1 和 1.2?

  • February 1, 2018
檢視問答
Apache-2.2

如何使用 OpenSSL 和 Apache 啟用 TLS 1.1 和 1.2

  • September 25, 2016
檢視問答
Apache-2.2

帶有 ecc 的 Apache2 ssl

  • July 8, 2015
檢視問答
Apache-2.2

DHE 密碼套件問題

  • June 28, 2015
檢視問答
Apache-2.2

Apache 和 mod_ssl 為客戶端證書使用多個遠端 CA

  • January 22, 2014
檢視問答