• 설명
• Nessus
• 참고 자료

TLS 프로토콜 CRIME 취약점 관리 방법

CRIME는 HTTPS 및 SPDY 프로토콜을 사용하고 데이터 압축을 사용하는 연결을 통해 비밀 웹 쿠키에 대한 보안 취약점입니다. 비밀 인증 쿠키의 내용을 복구하여 인증된 웹 세션에서 세션 하이재킹을 수행하고 추가적인 공격을 수행할 수 있도록 허용합니다.

설명

TLS 프로토콜 CRIME 취약점은 HTTPS를 통해 데이터 압축을 사용하는 시스템에 영향을 미칩니다. 시스템이 SSL 압축(예: Gzip) 또는 SPDY(압축을 선택적으로 사용)를 사용하는 경우 CRIME 취약점에 취약할 수 있습니다.

GitLab은 Gzip 및 SPDY를 지원하며 HTTPS가 활성화되면 Gzip를 비활성화하여 CRIME 취약점을 완화합니다. 파일의 원본은 다음 위치에 있습니다.

• 자체 컴파일된 설치 NGINX 파일
• Linux 패키지 설치 NGINX 파일

Linux 패키지 설치에서 SPDY가 활성화되어 있지만 CRIME은 압축(C)을 사용하며 NGINX SPDY 모듈의 기본 압축 레벨은 0(압축 없음)입니다.

Nessus

Nessus 스캐너는 GitLab에서 가능한 CRIME 취약점을 보고합니다 네트워크 보안에 이러한 형식의 가능한 취약점을 나타내는 리포트를 제공합니다.

설명

이 원격 서비스는 CRIME 공격에 필요한 두 가지 구성 중 하나를 가지고 있다고 알려져 있다:
SSL/TLS 압축이 활성화되어 있음.
TLS가 버전 4보다 이전의 SPDY 프로토콜을 선언함.

...

결과

다음 구성은 원격 서비스가 CRIME 공격에 취약할 수 있음을 나타낸다:
버전 4보다 이전인 SPDY 지원이 선언됨.

위의 보고서는 Nessus가 단지 TLS가 버전 4보다 이전의 SPDY 프로토콜을 선언하는지 여부만을 확인한다는 것을 나타냅니다. 이것은 Nessus 스캐너만으로 SPDY 압축이 비활성화되어 있고 CRIME 취약점의 대상이 아니라는 것을 알려주지 않습니다.

참고 자료

• NGINX “모듈 ngx_http_spdy_module”
• Tenable Network Security, Inc. “Transport Layer Security (TLS) Protocol CRIME Vulnerability”
• Wikipedia 기여자, “CRIME” Wikipedia, The Free Encyclopedia