Apache-2.2
如何在 Apache httpd 2.2.15 上禁用 SSLCompression?(防禦犯罪/野獸)
我閱讀了針對 TLS 壓縮的CRIME攻擊(CVE-2012-4929,CRIME 是針對 ssl 和 tls 的 BEAST 攻擊的繼承者),我想通過禁用 SSL Compression來保護我的網路伺服器免受這種攻擊,該攻擊已添加到 Apache 2.2.22(見錯誤 53219)。
我正在執行 httpd-2.2.15 附帶的 Scientific Linux 6.3。httpd 2.2 上游版本的安全修復程序應該向後移植到此版本。
# rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's Module Magic Number: 20051115:24 Server loaded: APR 1.3.9, APR-Util 1.3.9 Compiled using: APR 1.3.9, APR-Util 1.3.9
我在我的配置中嘗試關閉 SSLCompression,但這會導致以下錯誤消息:
# /etc/init.d/httpd restart Stopping httpd: [ OK ] Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf: Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration [FAILED]
是否可以使用此版本的 Apache Webserver 禁用 SSLCompression?
2013 年 3 月 4 日,Red Hat 提供了更新的 OpenSSL 軟體包來解決這個問題。您可以通過正常的更新渠道接收它們。
原來的答案是:
Red Hat 沒有提供提供此功能的更新包,但有可用的解決方法。編輯
/etc/sysconfig/httpd
文件並將這一行添加到其中:export OPENSSL_NO_DEFAULT_ZLIB=1
然後重啟 Apache:
service httpd restart
這將導致為 Apache 提供加密功能的 OpenSSL 不提供壓縮。