• 描述
• Nessus

我们如何管理 TLS 协议 CRIME 漏洞

CRIME 是一种针对 secret Web cookie 的安全漏洞，它通过使用 HTTPS 和 SPDY 协议的连接进行，这些协议也使用数据压缩。当用于恢复 secret 身份验证 cookie 的内容时，它允许攻击者在经过身份验证的 Web 会话上执行会话劫持，从而允许发起进一步的攻击。

描述

TLS 协议 CRIME 漏洞影响通过 HTTPS 使用数据压缩的系统。如果您使用 SSL 压缩（例如 Gzip）或 SPDY（可选地使用压缩），您的系统可能容易受到 CRIME 漏洞的攻击。

极狐GitLab 支持 Gzip 和 SPDY，并通过在启用 HTTPS 时停用 Gzip 来缓解 CRIME 漏洞。文件的来源在这里：

• 源安装 NGINX 文件
• Omnibus 安装 NGINX 文件

尽管在 Omnibus 安装中启用了 SPDY，但 CRIME 依赖于压缩（“C”），NGINX 的 SPDY 模块中的默认压缩级别为 0（无压缩）。

Nessus

Nessus 扫描器，报告可能的 CRIME 漏洞，类似于以下格式：

Description

This remote service has one of two configurations that are known to be required for the CRIME attack:
SSL/TLS compression is enabled.
TLS advertises the SPDY protocol earlier than version 4.

...

Output

The following configuration indicates that the remote service may be vulnerable to the CRIME attack:
SPDY support earlier than version 4 is advertised.

从上面的报告中值得注意的是，Nessus 仅检查 TLS 是否在版本 4 之前发布了 SPDY 协议。它不执行攻击，也不检查是否启用了压缩。单独的 Nessus 扫描程序无法判断 SPDY 的压缩已禁用并且不受 CRIME 漏洞的影响。