• 설명
• Nessus
• 참조

TLS 프로토콜 CRIME 취약점을 관리하는 방법

CRIME는 HTTPS 및 SPDY 프로토콜을 사용하는 연결에서 비밀 웹 쿠키에 대한 보안 악용입니다.

데이터 압축을 사용하는 경우 공격자가 인증된 웹 세션에서 세션 하이재킹을 수행하여 추가 공격을 시작할 수 있도록 비밀 인증 쿠키의 내용을 복구하는 데 사용됩니다.

설명

TLS 프로토콜 CRIME 취약점은 HTTPS에서 데이터 압축을 사용하는 시스템에 영향을 미칩니다.

SSL 압축(예: Gzip) 또는 SPDY(압축을 선택적으로 사용하는 경우)를 사용하는 경우 시스템이 CRIME 취약점에 노출될 수 있습니다.

GitLab은 Gzip 및 SPDY를 모두 지원하며 HTTPS가 활성화되면 Gzip를 비활성화하여 CRIME 취약점을 완화합니다.

파일 소스는 다음과 같습니다:

• 자체 컴파일된 설치 NGINX 파일
• 리눅스 패키지 설치 NGINX 파일

리눅스 패키지 설치에서 SPDY가 활성화되어 있지만, CRIME은 압축(C) 및 NGINX SPDY 모듈의 기본 압축 수준이 0(압축 없음)에 의존합니다.

Nessus

Nessus 스캐너는 GitLab에서 CRIME 취약점이 발생할 가능성을 보고합니다.

형식은 다음과 같습니다:

설명  

이 원격 서비스는 CRIME 공격에 필요하다고 알려진 두 가지 구성 중 하나를 가지고 있습니다:  
SSL/TLS 압축이 활성화되어 있습니다.  
TLS가 버전 4 이전의 SPDY 프로토콜을 광고합니다.  

...  

출력  

다음 구성은 원격 서비스가 CRIME 공격에 취약할 수 있음을 나타냅니다:  
버전 4 이전의 SPDY 지원이 광고됩니다.  

위 보고서는 Nessus가 TLS가 버전 4 이전의 SPDY 프로토콜을 광고하고 있는지만 확인한다는 것을 나타냅니다.

공격을 수행하지 않으며 압축이 활성화되어 있는지 확인하지도 않습니다.

Nessus 스캐너만으로는 SPDY 압축이 비활성화되어 있고 CRIME 취약점의 영향을 받지 않는지 알 수 없습니다.

참조

• NGINX “모듈 ngx_http_spdy_module”
• Tenable Network Security, Inc. “전송 계층 보안(TLS) 프로토콜 CRIME 취약점”
• 위키피디아 기여자들, “CRIME” 위키피디아, 자유 백과사전