{{< details >}}
- Tier: 基础版, 专业版, 旗舰版
- Offering: 私有化部署
{{< /details >}}
CRIME 是一种针对使用 HTTPS 和 SPDY 协议并进行数据压缩的连接的密钥网页 Cookie 的安全漏洞。当用于恢复密钥身份验证 Cookie 的内容时,它允许攻击者对经过身份验证的网页会话进行会话劫持,从而启动进一步的攻击。
描述
TLS 协议 CRIME 漏洞影响使用 HTTPS 数据压缩的系统。如果您的系统使用 SSL 压缩(例如 Gzip)或 SPDY(可选择使用压缩),那么可能会受到 CRIME 漏洞的影响。极狐GitLab 支持 Gzip 和 SPDY,并通过在启用 HTTPS 时停用 Gzip 来缓解 CRIME 漏洞。文件的来源在这里:
- 自编译安装 NGINX 文件
- Linux 软件包安装 NGINX 文件
尽管在 Linux 软件包安装中启用了 SPDY,但 CRIME 依赖于压缩(即“C”),而 NGINX SPDY 模块中的默认压缩级别是 0(无压缩)。
Nessus
Nessus 扫描器,报告了极狐GitLab 中可能的 CRIME 漏洞,格式类似于以下内容:
Description
This remote service has one of two configurations that are known to be required for the CRIME attack:
SSL/TLS compression is enabled.
TLS advertises the SPDY protocol earlier than version 4.
...
Output
The following configuration indicates that the remote service may be vulnerable to the CRIME attack:
SPDY support earlier than version 4 is advertised.
上述报告表明 Nessus 仅检查 TLS 是否在版本 4 之前公布 SPDY 协议。它不会进行攻击,也不检查是否启用了压缩。仅靠 Nessus 扫描器无法判断 SPDY 压缩被禁用且不受 CRIME 漏洞影响。