Hallo zusammen,
bei openSUSE12.3 mit allen Patches scheint für Apache 2.2.22 die SSL/TLS-Compression immer noch aktiv zu sein.
Dies bedeutet, dass der Webserver prinzipiell für die CRIME-Attacke verwundbar ist.
Für SLES11-SPx gibt es mittlerweile einen Patch, um über /etc/sysconfig/apache2 die Komprimierung zu deaktivieren (APACHE_DISABLE_SSL_COMPRESSION) Leider scheint es dies aber (noch) nicht für openSUSE zu geben.
Gibt es einen Weg für openSUSE die TLS-Compression trotzdem zu deaktivieren?
Vielen Dank!
Marco