Apache httpd 2.2.15でSSLCompressionを無効にする方法は?(CRIME / BEASTに対する防御)

13

TLS圧縮に対するCRIME攻撃(CVE-2012-4929、CRIMEはssl&tlsに対するBEAST攻撃の後継です)について読みましたが、Apacheに追加されたSSL圧縮を無効にすることでこの攻撃からWebサーバーを保護したいです2.2.22(バグ53219を参照)。

httpd-2.2.15に付属するScientific Linux 6.3を実行しています。httpd 2.2のアップストリームバージョンのセキュリティ修正は、このバージョンにバックポートする必要があります。

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

構成でSSLCompressionをオフにしようとましたが、次のエラーメッセージが表示されます。

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

このバージョンのApache WebserverでSSLCompressionを無効にすることはできますか?

apache-2.2  security  tls  mod-ssl 
ステファン・ラシエウスキ
ソース

回答:

20

2013年3月4日、 Red Hatはこの問題に対処したOpenSSLパッケージを更新しました。通常の更新チャネルを介してそれらを受け取ることができます。

元の答えは:

Red Hatはこの機能を提供するアップデートパッケージを提供していませんが、回避策はあります。/etc/sysconfig/httpdファイルを編集して、次の行を追加します。

export OPENSSL_NO_DEFAULT_ZLIB=1

次に、Apacheを再起動します。

service httpd restart

これにより、Apacheの暗号化機能を提供するOpenSSLが圧縮を提供しなくなります。

マイケル・ハンプトン
ソース
1
mod_deflateはどうですか?それも無効にすべきではありませんか?
sjbotha
1
いいえ、それは無関係です。
マイケルハンプトン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.