• 설명
• Nessus
• 참고 항목

TLS 프로토콜 CRIME 취약점 관리 방법

CRIME은 HTTPS 및 SPDY 프로토콜을 사용하고 데이터 압축을 사용하는 연결에서 비밀 웹 쿠키에 대한 보안 취약점입니다. 비밀 인증 쿠키의 내용을 복구하는 데 사용될 때, 공격자는 인증된 웹 세션에서 세션 탈취를 수행하여 추가 공격을 수행할 수 있습니다.

설명

TLS 프로토콜 CRIME 취약점은 HTTPS를 통해 데이터 압축을 사용하는 시스템에 영향을 미칩니다. SSL 압축(예: Gzip) 또는 SPDY(선택적으로 압축을 사용)를 사용하는 경우 시스템이 CRIME 취약점에 취약할 수 있습니다.

GitLab은 Gzip 및 SPDY를 지원하며, HTTPS가 활성화된 경우 Gzip를 비활성화하여 CRIME 취약점을 완화합니다. 파일 소스는 다음과 같습니다:

• 자체 컴파일 설치 NGINX 파일
• Linux 패키지 설치 NGINX 파일

Linux 패키지 설치에서 SPDY가 활성화되었더라도 CRIME은 기본 압축 수준이 0인 NGINX SPDY 모듈의 압축(압축 없음)을 기반으로 합니다.

Nessus

Nessus 스캐너는 GitLab에서 가능한 CRIME 취약점을 다음과 같은 형식으로 보고합니다: 보고서

설명

이 원격 서비스에는 CRIME 공격에 필요한 두 가지 구성 중 하나가 있습니다:
SSL/TLS 압축이 활성화되어 있음.
TLS가 버전 4보다 이전인 SPDY 프로토콜을 알리고 있음.

...

출력

다음 구성은 원격 서비스가 CRIME 공격에 취약할 수 있음을 나타냅니다:
버전 4보다 이전인 SPDY 지원이 알려져 있음.

위의 보고서는 Nessus가 TLS가 버전 4보다 이전인 SPDY 프로토콜을 알리는지만 확인한다는 점을 나타냅니다. 공격을 수행하지 않으며 압축이 활성화되어 있는지 확인하지는 않습니다. Nessus 스캐너만으로는 SPDY 압축이 비활성화되어 있는지 또는 CRIME 취약점의 대상이 아닌지 확인할 수 없습니다.

참고 항목

• NGINX “모듈 ngx_http_spdy_module”
• Tenable Network Security, Inc. “전송 계층 보안(TLS) 프로토콜 CRIME 취약점”
• Wikipedia 기여자, “CRIME” Wikipedia, The Free Encyclopedia