Apache httpd 2.2.15에서 SSLCompression을 비활성화하는 방법은 무엇입니까? (CRIME / BEAST에 대한 방어)


14

TLS 압축 에 대한 CRIME 공격 ( CVE-2012-4929 , CRIME은 ssl & tls에 대한 BEAST 공격의 후속 임) 에 대해 읽었 으며 Apache에 추가 된 SSL 압축비활성화 하여이 공격으로부터 웹 서버를 보호하려고합니다. 2.2.22 ( 버그 53219 참조 )

httpd-2.2.15와 함께 제공되는 Scientific Linux 6.3을 실행하고 있습니다. httpd 2.2의 업스트림 버전에 대한 보안 수정 사항은이 버전으로 백 포트되어야합니다.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

구성에서 SSLCompression을 시도했지만 다음과 같은 오류 메시지가 나타납니다.

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

이 버전의 Apache 웹 서버에서 SSLCompression을 비활성화 할 수 있습니까?

답변:


21

2013 년 3 월 4 일, Red Hat은이 문제를 해결하는 업데이트 된 OpenSSL 패키지를 제공했습니다 . 일반 업데이트 채널을 통해받을 수 있습니다.

원래 답변은 다음과 같습니다.


Red Hat은이 기능을 제공하는 업데이트 된 패키지를 제공하지 않았지만 사용 가능한 해결 방법이 있습니다. /etc/sysconfig/httpd파일을 편집하고 다음 줄을 추가하십시오.

export OPENSSL_NO_DEFAULT_ZLIB=1

그런 다음 Apache를 다시 시작하십시오.

service httpd restart

이로 인해 Apache에 대한 암호화 기능을 제공하는 OpenSSL이 압축을 제공하지 않습니다.


1
mod_deflate는 어떻습니까? 이것도 비활성화 시켜서는 안됩니까?
sjbotha

1
아니요, 관련이 없습니다.
Michael Hampton
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.