我读了关于针对TLS压缩的CRIME攻击( CVE-2012-4929 ,CRIME是针对ssl&tls的BEAST攻击的后继者),并且我想通过禁用SSL压缩来保护我的web服务器免受这种攻击2.2.22(见错误53219 )。
我正在运行httpd-2.2.15的Scientific Linux 6.3。 httpd 2.2上游版本的安全修复应该被反向移植到这个版本。
# rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's Module Magic Number: 20051115:24 Server loaded: APR 1.3.9, APR-Util 1.3.9 Compiled using: APR 1.3.9, APR-Util 1.3.9 我在configuration中closures了SSLCompression ,但是导致了以下错误信息:
# /etc/init.d/httpd restart Stopping httpd: [ OK ] Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf: Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration [FAILED]
这个版本的Apache Web服务器可以禁用SSLCompression吗?
2013年3月4日, 红帽提供了更新的OpenSSL套件来解决这个问题 。 您可以通过正常的更新渠道接收它们。
原来的答案是:
尽pipe有一个解决方法可用,但红帽并未提供提供此function的更新软件包 。 编辑/etc/sysconfig/httpd文件并添加以下行:
export OPENSSL_NO_DEFAULT_ZLIB=1
然后重启Apache:
service httpd restart
这将导致为Apache提供encryption函数的OpenSSL不提供压缩。