Come disabilitare SSLCompression su Apache httpd 2.2.15? (Difesa contro CRIMINE / BEAST)


13

Ho letto dell'attacco CRIME contro la compressione TLS ( CVE-2012-4929 , CRIME è un successore dell'attacco BEAST contro ssl & tls) e voglio proteggere i miei server Web da questo attacco disabilitando la compressione SSL , che è stata aggiunta ad Apache 2.2.22 (Vedi Bug 53219 ).

Sto eseguendo Scientific Linux 6.3, fornito con httpd-2.2.15. Le correzioni di sicurezza per le versioni upstream di httpd 2.2 devono essere trasferite su questa versione.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

Ho provato a disattivare SSLCompression nella mia configurazione, ma il risultato è il seguente messaggio di errore:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

È possibile disabilitare SSLCompression con questa versione di Apache Webserver?

Risposte:


20

Il 4 marzo 2013, Red Hat ha fornito pacchetti OpenSSL aggiornati che risolvono questo problema . Puoi riceverli attraverso i tuoi normali canali di aggiornamento.

La risposta originale era:


Red Hat non ha fornito un pacchetto aggiornato che fornisce questa funzionalità , sebbene sia disponibile una soluzione alternativa. Modifica il /etc/sysconfig/httpdfile e aggiungi questa riga:

export OPENSSL_NO_DEFAULT_ZLIB=1

Quindi riavviare Apache:

service httpd restart

Ciò farà sì che OpenSSL, che fornisce funzioni di crittografia per Apache, non offra compressione.


1
Che dire di mod_deflate? Anche questo non dovrebbe essere disabilitato?
Sjbotha,

1
No, è irrilevante.
Michael Hampton
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.