• 설명
• Nessus
• 참조

TLS 프로토콜 CRIME 취약점 관리 방법

CRIME은 HTTPS와 SPDY 프로토콜을 사용하고 데이터 압축을 사용하는 연결에서 비밀 웹 쿠키에 대한 보안 취약점으로, 비밀 인증 쿠키의 내용을 복구하여 인증된 웹 세션의 세션 하이재킹을 수행하여 추가 공격을 수행할 수 있습니다.

설명

TLS 프로토콜 CRIME 취약점은 HTTPS에서 데이터 압축을 사용하는 시스템에 영향을 미칩니다. 시스템이 SSL 압축(예: Gzip) 또는 SPDY(압축을 선택적으로 사용)를 사용하는 경우 CRIME 취약점에 취약할 수 있습니다.

GitLab은 Gzip 및 SPDY를 모두 지원하며, HTTPS가 활성화된 상태에서 Gzip를 비활성화하여 CRIME 취약점을 완화합니다. 파일 출처는 다음과 같습니다.

• 자체 컴파일된 설치 NGINX 파일
• Linux 패키지 설치 NGINX 파일

Linux 패키지 설치에는 SPDY가 활성화되어 있지만 CRIME은 압축(‘C’)에 의존하며 NGINX SPDY 모듈의 기본 압축 수준은 0(압축되지 않음)입니다.

Nessus

Nessus 스캐너는 GitLab에서 가능한 CRIME 취약점을 보고합니다. 보고서 형식은 다음과 유사합니다.

설명

이 원격 서비스에는 CRIME 공격에 필요한 두 가지 구성 중 하나가 있는 것으로 알려진 SSL/TLS 압축이 활성화되어 있습니다.
TLS가 버전 4보다 이전인 SPDY 프로토콜을 알리고 있습니다.

...

출력

다음 구성은 원격 서비스가 CRIME 공격에 취약할 수 있음을 나타냅니다.
버전 4보다 이전인 SPDY 지원이 알려져 있습니다.

위의 보고서는 Nessus가 SPDY 압축이 비활성화되어 있고 CRIME 취약점의 대상이 아님을 확인할 수 없다는 것을 나타냅니다.

참조

• NGINX “모듈 ngx_http_spdy_module”
• Tenable Network Security, Inc. “전송 계층 보안(TLS) 프로토콜 CRIME 취약점”
• Wikipedia 기여자, “CRIME” Wikipedia, The Free Encyclopedia