[〜#〜] crime [〜#〜] TLS圧縮に対する攻撃( CVE-2012-4929 、CRIMEはsslに対するBEAST攻撃の後継です)について読みました&tls)、そしてApache 2.2.22に追加された SSL圧縮を無効にする によってこの攻撃からウェブサーバーを保護したい( Bug 53219 を参照)。
Httpd-2.2.15に同梱されているScientific Linux 6.3を実行しています。 httpd 2.2のアップストリームバージョンのセキュリティ修正は、このバージョンにバックポートする必要があります。
# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64
# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built: Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9
設定で SSLCompression off を試しましたが、次のエラーメッセージが表示されます。
# /etc/init.d/httpd restart
Stopping httpd: [ OK ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
[FAILED]
このバージョンのApache WebserverでSSLCompressionを無効にすることはできますか?
2013年3月4日 Red Hatはこの問題に対処する更新されたOpenSSLパッケージを提供しました 。通常のアップデートチャネルを通じてそれらを受け取ることができます。
元の答えは:
Red Hatは、この機能を提供する更新パッケージを提供していません 、ただし、回避策はあります。 /etc/sysconfig/httpd
ファイルを作成し、次の行を追加します。
export OPENSSL_NO_DEFAULT_ZLIB=1
次に、Apacheを再起動します。
service httpd restart
これにより、Apacheに暗号化機能を提供するOpenSSLが圧縮を提供しなくなります。