Apache httpd 2.2.15'te SSLCompression nasıl devre dışı bırakılır? (CRIME / BEAST'a karşı savunma)

TLS Sıkıştırmasına karşı CRIME saldırısını okudum ( CVE-2012-4929 , CRIME ssl & tls'ye karşı BEAST saldırısının ardılı) ve Apache'ye eklenen SSL Sıkıştırmasını devre dışı bırakarak web sunucularımı bu saldırıya karşı korumak istiyorum 2.2.22 (Bkz. Hata 53219 ).

Httpd-2.2.15 ile gelen Scientific Linux 6.3 kullanıyorum. Httpd 2.2'nin yukarı akış sürümleri için güvenlik düzeltmeleri bu sürüme desteklenmelidir.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

SSLCompression'u yapılandırmamda kapatmayı denedim , ancak bu aşağıdaki hata iletisiyle sonuçlanıyor:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

SSLCompression'u bu Apache Webserver sürümü ile devre dışı bırakmak mümkün müdür?

4 Mart 2013'te Red Hat , bu sorunu ele alan güncellenmiş OpenSSL paketleri sağladı . Bunları normal güncelleme kanallarınızdan alabilirsiniz.

Orijinal cevap:

Red Hat, bu işlevi sağlayan güncel bir paket sunmadı , ancak bir geçici çözüm var. Edit /etc/sysconfig/httpddosyasını ve ona bu satırı ekleyin:

export OPENSSL_NO_DEFAULT_ZLIB=1

Ardından Apache'yi yeniden başlatın:

service httpd restart

Bu, Apache için kripto işlevleri sağlayan OpenSSL'nin sıkıştırma sunmamasına neden olur.