How we manage the TLS protocol CRIME vulnerability

原文:https://docs.gitlab.com/ee/security/crime_vulnerability.html

How we manage the TLS protocol CRIME vulnerability

CRIME是利用 HTTPS 和 SPDY 协议(也使用数据压缩)通过连接对秘密 Web Cookie 进行安全性攻击的方法. 当用于恢复秘密身份验证 Cookie 的内容时,它允许攻击者在经过身份验证的 Web 会话上执行会话劫持,从而允许发起进一步的攻击.

Description

TLS 协议 CRIME 漏洞影响使用 HTTPS 进行数据压缩的系统. 如果使用 SSL 压缩(例如 Gzip)或 SPDY(可以选择使用压缩),则系统可能容易受到 CRIME 漏洞的攻击.

GitLab 支持 Gzip 和SPDY,并通过在启用 HTTPS 时禁用 Gzip 来缓解 CRIME 漏洞. 文件的来源在这里:

尽管在 Omnibus 安装中启用了 SPDY,但 CRIME 依赖于压缩(” C”),NGINX 的 SPDY 模块中的默认压缩级别为 0(无压缩).

Nessus

Nessus 扫描仪报告 GitLab 中可能存在的 CRIME 漏洞 ,类似于以下格式:

  1. Description
  3. This remote service has one of two configurations that are known to be required for the CRIME attack:
  4. SSL/TLS compression is enabled.
  5. TLS advertises the SPDY protocol earlier than version 4.
  7. ...
  9. Output
  11. The following configuration indicates that the remote service may be vulnerable to the CRIME attack:
  12. SPDY support earlier than version 4 is advertised.

从上面的报告中,需要特别注意的是,Nessus 仅检查 TLS 是否在版本 4 之前发布了 SPDY 协议.它不执行攻击,也不检查是否启用了压缩. 仅 Nessus 扫描程序无法告知 SPDY 的压缩已禁用并且不受 CRIME 漏洞的影响.

References