¿Cómo deshabilitar SSLCompression en Apache httpd 2.2.15? (Defensa contra CRIMEN / BESTIA)

13

Leí sobre el ataque CRIME contra la compresión TLS ( CVE-2012-4929 , CRIME es un sucesor del ataque BEAST contra ssl & tls), y quiero proteger a mis servidores web contra este ataque deshabilitando la compresión SSL , que se agregó a Apache 2.2.22 (Ver Bug 53219 ).

Estoy ejecutando Scientific Linux 6.3, que se entrega con httpd-2.2.15. Las correcciones de seguridad para las versiones anteriores de httpd 2.2 deben ser compatibles con esta versión.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

Probé SSLCompression fuera en mi configuración, pero que los resultados en el siguiente mensaje de error:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

¿Es posible deshabilitar SSLCompression con esta versión del servidor web Apache?

Stefan Lasiewski
fuente

Respuestas:

20

El 4 de marzo de 2013, Red Hat proporcionó paquetes actualizados de OpenSSL que abordan este problema . Puede recibirlos a través de sus canales de actualización normales.

La respuesta original fue:


Red Hat no ha proporcionado un paquete actualizado que brinde esta funcionalidad , aunque hay una solución disponible. Edite el /etc/sysconfig/httpdarchivo y agregue esta línea:

export OPENSSL_NO_DEFAULT_ZLIB=1

Luego reinicie Apache:

service httpd restart

Esto hará que OpenSSL, que proporciona funciones de cifrado para Apache, no ofrezca compresión.

Michael Hampton
fuente
1
¿Qué pasa con mod_deflate? ¿No debería estar deshabilitado también?
sjbotha
1
No, eso es irrelevante.
Michael Hampton