Як відключити компресію SSLC на Apache httpd 2.2.15? (Захист від ЗЛИЧНОСТІ / ВИБИ)

Я читав про ЗЛОЧИННОСТІ атаці проти TLS Compression ( CVE-2012-4929 , ЗЛОЧИН є наступником атаки BEAST проти & SSL , TLS), і я хочу захистити свої вебсервер проти цієї атаки шляхом відключення SSL стиснення , який був доданий в Apache 2.2.22 (Див. Помилку 53219 ).

У мене працює Scientific Linux 6.3, який постачається з httpd-2.2.15. Виправлення безпеки для версій httpd 2.2 повинні підтримуватися до цієї версії.

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

Я спробував виключити компресію SSLC в моїй конфігурації, але це призводить до наступного повідомлення про помилку:

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
                                                           [FAILED]

Чи можна відключити SSLCompression за допомогою цієї версії веб-сервера Apache?

4 березня 2013 року Red Hat надала оновлені пакети OpenSSL, які вирішують цю проблему . Ви можете отримувати їх через звичайні канали оновлення.

Оригінальна відповідь:

Red Hat не надав оновленого пакету, який би надав цю функціональність , хоча доступний спосіб вирішення. Відредагуйте /etc/sysconfig/httpdфайл та додайте до нього цей рядок:

export OPENSSL_NO_DEFAULT_ZLIB=1

Потім перезапустіть Apache:

service httpd restart

Це призведе до того, що OpenSSL, який забезпечує функції криптовалюти для Apache, не пропонує компресії.