我了解了针对 TLS 压缩的CRIME攻击(CVE-2012-4929,CRIME 是针对 ssl 和 tls 的 BEAST 攻击的继承者),我想通过禁用 SSL 压缩来保护我的网络服务器免受这种攻击,它已添加到 Apache 2.2.22(见错误 53219)。
我正在运行 Scientific Linux 6.3,它与 httpd-2.2.15 一起提供。httpd 2.2 上游版本的安全修复应该向后移植到这个版本。
# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64
# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built: Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9
我在我的配置中尝试关闭 SSLCompression,但这会导致以下错误消息:
# /etc/init.d/httpd restart
Stopping httpd: [ OK ]
Starting httpd: …