我读到过犯罪针对 TLS 压缩的攻击(CVE-2012-4929CRIME 是针对 SSL 和 TLS 的 BEAST 攻击的后继者),我希望通过以下方式保护我的网络服务器免受此攻击:禁用 SSL 压缩,已添加到 Apache 2.2.22(请参阅错误 53219)。
我正在运行 Scientific Linux 6.3,它附带 httpd-2.2.15。httpd 2.2 上游版本的安全修复应该会移植到此版本。
# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64
# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built: Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9
我试过SSL压缩关闭在我的配置中,但会导致以下错误消息:
# /etc/init.d/httpd restart
Stopping httpd: [ OK ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
[FAILED]
是否可以使用该版本的 Apache Webserver 禁用 SSLCompression?
答案1
2013年3月4日,Red Hat 提供了更新的 OpenSSL 软件包来解决此问题。您可以通过正常的更新渠道接收它们。
原来的答案是:
Red Hat 尚未提供具备此功能的更新软件包,不过有一个解决方法。编辑/etc/sysconfig/httpd文件并添加以下行:
export OPENSSL_NO_DEFAULT_ZLIB=1
然后重新启动Apache:
service httpd restart
这将导致为 Apache 提供加密功能的 OpenSSL 不提供压缩。