我们如何管理 TLS 协议 CRIME 漏洞

CRIME 是一种针对 secret Web cookie 的安全漏洞,它通过使用 HTTPS 和 SPDY 协议的连接进行,这些协议也使用数据压缩。当用于恢复 secret 身份验证 cookie 的内容时,它允许攻击者在经过身份验证的 Web 会话上执行会话劫持,从而允许发起进一步的攻击。

描述

TLS 协议 CRIME 漏洞影响通过 HTTPS 使用数据压缩的系统。如果您使用 SSL 压缩(例如 Gzip)或 SPDY(可选地使用压缩),您的系统可能容易受到 CRIME 漏洞的攻击。

极狐GitLab 支持 Gzip 和 SPDY,并通过在启用 HTTPS 时停用 Gzip 来缓解 CRIME 漏洞。文件的来源在这里:

尽管在 Omnibus 安装中启用了 SPDY,但 CRIME 依赖于压缩(“C”),NGINX 的 SPDY 模块中的默认压缩级别为 0(无压缩)。

Nessus

Nessus 扫描器,报告可能的 CRIME 漏洞,类似于以下格式:

Description

This remote service has one of two configurations that are known to be required for the CRIME attack:
SSL/TLS compression is enabled.
TLS advertises the SPDY protocol earlier than version 4.

...

Output

The following configuration indicates that the remote service may be vulnerable to the CRIME attack:
SPDY support earlier than version 4 is advertised.

从上面的报告中值得注意的是,Nessus 仅检查 TLS 是否在版本 4 之前发布了 SPDY 协议。它不执行攻击,也不检查是否启用了压缩。单独的 Nessus 扫描程序无法判断 SPDY 的压缩已禁用并且不受 CRIME 漏洞的影响。