Comment désactiver SSLCompression sur Apache httpd 2.2.15? (Défense contre CRIME / BEAST)

13

J'ai lu des informations sur l' attaque CRIME contre la compression TLS ( CVE-2012-4929 , CRIME est le successeur de l'attaque BEAST contre ssl & tls), et je souhaite protéger mes serveurs Web contre cette attaque en désactivant la compression SSL , qui a été ajoutée à Apache 2.2.22 (Voir bug 53219 ).

J'utilise Scientific Linux 6.3, livré avec httpd-2.2.15. Les correctifs de sécurité pour les versions en amont de httpd 2.2 devraient être rétroportés vers cette version.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

J'ai essayé SSLCompression dans ma configuration, mais cela se traduit par le message d'erreur suivant:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

Est-il possible de désactiver SSLCompression avec cette version d'Apache Webserver?

Stefan Lasiewski
la source

Réponses:

20

Le 4 mars 2013, Red Hat a fourni des packages OpenSSL mis à jour qui résolvent ce problème . Vous pouvez les recevoir via vos canaux de mise à jour normaux.

La réponse originale était:


Red Hat n'a pas fourni de package mis à jour qui fournit cette fonctionnalité , bien qu'une solution de contournement soit disponible. Modifiez le /etc/sysconfig/httpdfichier et ajoutez-y cette ligne:

export OPENSSL_NO_DEFAULT_ZLIB=1

Redémarrez ensuite Apache:

service httpd restart

Cela empêchera OpenSSL, qui fournit des fonctions de chiffrement pour Apache, de proposer la compression.

Michael Hampton
la source
1
Qu'en est-il de mod_deflate? Cela ne devrait-il pas être également désactivé?
sjbotha
1
Non, ce n'est pas pertinent.
Michael Hampton