मैंने TLS संपीड़न ( CVE-2012-4929 , CRIME ssl & tls के विरुद्ध BEAST हमले का उत्तराधिकारी है) के बारे में CRIME हमले के बारे में पढ़ा , और मैं इस हमले के खिलाफ अपने Webservers की रक्षा करना चाहता हूं , जिन्होंने SSL संपीड़न को अपाचे से जोड़ा था। २.२.२२ ( बग 53219 देखें )।
मैं साइंटिफिक लिनक्स 6.3 चला रहा हूं, जो httpd-2.2.15 के साथ काम करता है। Httpd 2.2 के अपस्ट्रीम संस्करणों के लिए सुरक्षा फ़िक्सेस को इस संस्करण में वापस भेज दिया जाना चाहिए।
# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64
# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built: Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded: APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9
मैंने अपने कॉन्फ़िगरेशन में SSLCompression बंद करने की कोशिश की , लेकिन निम्न त्रुटि संदेश में परिणाम:
# /etc/init.d/httpd restart
Stopping httpd: [ OK ]
Starting httpd: Syntax error on line 147 of /etc/httpd/httpd.conf:
Invalid command 'SSLCompression', perhaps misspelled or defined by a module not included in the server configuration
[FAILED]
क्या Apache Webserver के इस संस्करण के साथ SSLCompression को निष्क्रिय करना संभव है?