Bagaimana cara menonaktifkan SSLCompression di Apache httpd 2.2.15? (Pertahanan melawan CRIME / BEAST)

13

Saya membaca tentang serangan CRIME terhadap TLS Compression ( CVE-2012-4929 , CRIME adalah penerus serangan BEAST terhadap ssl & tls), dan saya ingin melindungi server web saya terhadap serangan ini dengan menonaktifkan Kompresi SSL , yang ditambahkan ke Apache 2.2.22 (Lihat Bug 53219 ).

Saya menjalankan Scientific Linux 6.3, yang dikirimkan dengan httpd-2.2.15. Perbaikan keamanan untuk versi upstream httpd 2.2 harus di-backport ke versi ini.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

Saya mencoba SSLCompression di konfigurasi saya, tetapi itu menghasilkan pesan kesalahan berikut:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

Apakah mungkin untuk menonaktifkan SSLCompression dengan versi Apache Webserver ini?

Stefan Lasiewski
sumber

Jawaban:

20

Pada 4 Maret 2013, Red Hat menyediakan paket OpenSSL yang diperbarui yang mengatasi masalah ini . Anda dapat menerimanya melalui saluran pembaruan normal Anda.

Jawaban aslinya adalah:


Red Hat belum menyediakan paket terbaru yang menyediakan fungsionalitas ini , meskipun ada solusi yang tersedia. Edit /etc/sysconfig/httpdfile dan tambahkan baris ini ke dalamnya:

export OPENSSL_NO_DEFAULT_ZLIB=1

Kemudian restart Apache:

service httpd restart

Ini akan menyebabkan OpenSSL, yang menyediakan fungsi crypto untuk Apache, tidak menawarkan kompresi.

Michael Hampton
sumber
1
Bagaimana dengan mod_deflate? Bukankah itu harus dinonaktifkan juga?
sjbotha
1
Tidak, itu tidak relevan.
Michael Hampton