Apache-2.2

如何在 Apache httpd 2.2.15 上禁用 SSLCompression?(防禦犯罪/野獸)

  • March 8, 2013

我閱讀了針對 TLS 壓縮的CRIME攻擊(CVE-2012-4929,CRIME 是針對 ssl 和 tls 的 BEAST 攻擊的繼承者),我想通過禁用 SSL Compression來保護我的網路伺服器免受這種攻擊,該攻擊已添加到 Apache 2.2.22(見錯誤 53219)。

我正在執行 httpd-2.2.15 附帶的 Scientific Linux 6.3。httpd 2.2 上游版本的安全修復程序應該向後移植到此版本。

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

我在我的配置中嘗試關閉 SSLCompression,但這會導致以下錯誤消息:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                          [FAILED]

是否可以使用此版本的 Apache Webserver 禁用 SSLCompression?

2013 年 3 月 4 日,Red Hat 提供了更新的 OpenSSL 軟體包來解決這個問題。您可以通過正常的更新渠道接收它們。

原來的答案是:


Red Hat 沒有提供提供此功能的更新包,但有可用的解決方法。編輯/etc/sysconfig/httpd文件並將這一行添加到其中:

export OPENSSL_NO_DEFAULT_ZLIB=1

然後重啟 Apache:

service httpd restart

這將導致為 Apache 提供加密功能的 OpenSSL 不提供壓縮。

引用自:https://serverfault.com/questions/455450