Wie deaktiviere ich SSLCompression auf Apache httpd 2.2.15? (Verteidigung gegen CRIME / BEAST)


13

Ich habe über den CRIME- Angriff gegen TLS-Komprimierung gelesen ( CVE-2012-4929 , CRIME ist ein Nachfolger des BEAST-Angriffs gegen SSL) und möchte meine Webserver vor diesem Angriff schützen, indem ich die zu Apache hinzugefügte SSL-Komprimierung deaktiviere 2.2.22 (Siehe Bug 53219 ).

Ich verwende Scientific Linux 6.3, das mit httpd-2.2.15 ausgeliefert wird. Sicherheitsupdates für vorgelagerte Versionen von httpd 2.2 sollten auf diese Version zurückportiert werden.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

Ich habe versucht, SSLCompression in meiner Konfiguration auszuschalten , dies führt jedoch zu der folgenden Fehlermeldung:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

Ist es möglich, SSLCompression mit dieser Version von Apache Webserver zu deaktivieren?

Antworten:


20

Am 4. März 2013 stellte Red Hat aktualisierte OpenSSL-Pakete zur Verfügung, die dieses Problem beheben . Sie können sie über Ihre normalen Update-Kanäle erhalten.

Die ursprüngliche Antwort war:


Red Hat hat kein aktualisiertes Paket bereitgestellt, das diese Funktionalität bietet , obwohl eine Problemumgehung verfügbar ist. Bearbeiten Sie die /etc/sysconfig/httpdDatei und fügen Sie diese Zeile hinzu:

export OPENSSL_NO_DEFAULT_ZLIB=1

Dann starte Apache neu:

service httpd restart

Dies führt dazu, dass OpenSSL, das Kryptofunktionen für Apache bereitstellt, keine Komprimierung bietet.


1
Was ist mit mod_deflate? Sollte das nicht auch deaktiviert sein?
sjbotha

1
Nein, das ist irrelevant.
Michael Hampton
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.