{{< details >}}

  • Tier: 基础版, 专业版, 旗舰版
  • Offering: 私有化部署

{{< /details >}}

CRIME 是一种针对使用 HTTPS 和 SPDY 协议并进行数据压缩的连接的密钥网页 Cookie 的安全漏洞。当用于恢复密钥身份验证 Cookie 的内容时,它允许攻击者对经过身份验证的网页会话进行会话劫持,从而启动进一步的攻击。

描述

TLS 协议 CRIME 漏洞影响使用 HTTPS 数据压缩的系统。如果您的系统使用 SSL 压缩(例如 Gzip)或 SPDY(可选择使用压缩),那么可能会受到 CRIME 漏洞的影响。极狐GitLab 支持 Gzip 和 SPDY,并通过在启用 HTTPS 时停用 Gzip 来缓解 CRIME 漏洞。文件的来源在这里:

  • 自编译安装 NGINX 文件
  • Linux 软件包安装 NGINX 文件

尽管在 Linux 软件包安装中启用了 SPDY,但 CRIME 依赖于压缩(即“C”),而 NGINX SPDY 模块中的默认压缩级别是 0(无压缩)。

Nessus

Nessus 扫描器,报告了极狐GitLab 中可能的 CRIME 漏洞,格式类似于以下内容:

Description

This remote service has one of two configurations that are known to be required for the CRIME attack:
SSL/TLS compression is enabled.
TLS advertises the SPDY protocol earlier than version 4.

...

Output

The following configuration indicates that the remote service may be vulnerable to the CRIME attack:
SPDY support earlier than version 4 is advertised.

上述报告表明 Nessus 仅检查 TLS 是否在版本 4 之前公布 SPDY 协议。它不会进行攻击,也不检查是否启用了压缩。仅靠 Nessus 扫描器无法判断 SPDY 压缩被禁用且不受 CRIME 漏洞影响。