TLS 압축 에 대한 CRIME 공격 ( CVE-2012-4929 , CRIME은 ssl & tls에 대한 BEAST 공격의 후속 임) 에 대해 읽었 으며 Apache에 추가 된 SSL 압축 을 비활성화 하여이 공격으로부터 웹 서버를 보호하려고합니다. 2.2.22 ( 버그 53219 참조 )
httpd-2.2.15와 함께 제공되는 Scientific Linux 6.3을 실행하고 있습니다. httpd 2.2의 업스트림 버전에 대한 보안 수정 사항은이 버전으로 백 포트되어야합니다.
# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64
# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built: Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9
구성에서 SSLCompression을 시도했지만 다음과 같은 오류 메시지가 나타납니다.
# /etc/init.d/httpd restart
Stopping httpd: [ OK ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
[FAILED]
이 버전의 Apache 웹 서버에서 SSLCompression을 비활성화 할 수 있습니까?