Como desativar o SSLCompression no Apache httpd 2.2.15? (Defesa contra CRIME / BEAST)


13

Li sobre o ataque CRIME contra a compactação TLS ( CVE-2012-4929 , CRIME é sucessor do ataque BEAST contra ssl & tls) e quero proteger meus servidores da Web contra esse ataque desativando a compactação SSL , que foi adicionada ao Apache 2.2.22 (Veja Bug 53219 ).

Estou executando o Scientific Linux 6.3, que acompanha o httpd-2.2.15. As correções de segurança nas versões anteriores do httpd 2.2 devem ser portadas para esta versão.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

Tentei o SSLCompression na minha configuração, mas isso resulta na seguinte mensagem de erro:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

É possível desativar o SSLCompression com esta versão do Apache Webserver?

Respostas:


20

Em 4 de março de 2013, a Red Hat forneceu pacotes OpenSSL atualizados que abordam esse problema . Você pode recebê-los através dos seus canais de atualização normais.

A resposta original foi:


A Red Hat não forneceu um pacote atualizado que ofereça essa funcionalidade , embora exista uma solução alternativa disponível. Edite o /etc/sysconfig/httpdarquivo e adicione esta linha a ele:

export OPENSSL_NO_DEFAULT_ZLIB=1

Em seguida, reinicie o Apache:

service httpd restart

Isso fará com que o OpenSSL, que fornece funções de criptografia para o Apache, não ofereça compactação.


1
E o mod_deflate? Isso não deveria ser desativado também?
precisa

1
Não, isso é irrelevante.
Michael Hampton
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.