web-dev-qa-db-ja.com

Apache httpd 2.2.15でSSLCompressionを無効にする方法は? (CRIME / BEASTに対する防御)

[〜#〜] crime [〜#〜] TLS圧縮に対する攻撃( CVE-2012-4929 、CRIMEはsslに対するBEAST攻撃の後継です)について読みました&tls)、そしてApache 2.2.22に追加された SSL圧縮を無効にする によってこの攻撃からウェブサーバーを保護したい( Bug 53219 を参照)。

Httpd-2.2.15に同梱されているScientific Linux 6.3を実行しています。 httpd 2.2のアップストリームバージョンのセキュリティ修正は、このバージョンにバックポートする必要があります。

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

設定で SSLCompression off を試しましたが、次のエラーメッセージが表示されます。

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

このバージョンのApache WebserverでSSLCompressionを無効にすることはできますか?

14

2013年3月4日 Red Hatはこの問題に対処する更新されたOpenSSLパッケージを提供しました 。通常のアップデートチャネルを通じてそれらを受け取ることができます。

元の答えは:


Red Hatは、この機能を提供する更新パッケージを提供していません 、ただし、回避策はあります。 /etc/sysconfig/httpdファイルを作成し、次の行を追加します。

export OPENSSL_NO_DEFAULT_ZLIB=1

次に、Apacheを再起動します。

service httpd restart

これにより、Apacheに暗号化機能を提供するOpenSSLが圧縮を提供しなくなります。

21
Michael Hampton