TLS 프로토콜 CRIME 취약점 관리 방법

Tier: Free, Premium, Ultimate Offering: Self-Managed

CRIME은 HTTPS 및 SPDY 프로토콜을 사용하고 데이터 압축을 사용하는 연결을 통해 비밀 웹 쿠키에 대한 보안 취약성을 이용한 보안 취약점입니다. 비밀 인증 쿠키의 내용을 복구하여 인증된 웹 세션의 세션 탈취를 허용하고 추가 공격을 수행할 수 있도록 합니다.

설명

TLS 프로토콜 CRIME 취약점은 HTTPS를 통해 데이터 압축을 사용하는 시스템에 영향을 미칩니다. 시스템이 SSL 압축(Gzip 등) 또는 SPDY(압축을 선택적으로 사용)를 사용하는 경우 CRIME 취약성에 취약할 수 있습니다.

GitLab은 Gzip 및 SPDY를 지원하며, HTTPS가 활성화된 경우 Gzip을 비활성화하여 CRIME 취약성을 완화합니다. 해당 파일의 소스는 다음과 같습니다.

리눅스 패키지 설치에서는 SPDY가 활성화되지만, CRIME은 압축(‘C’가 의미하는)에 의존하며 NGINX SPDY 모듈의 기본 압축 레벨은 0(압축 없음)입니다.

Nessus

Nessus 스캐너는 GitLab에서 다음과 유사한 형식의 가능한 CRIME 취약성을 보고합니다. 

설명

원격 서비스가 CRIME 공격에 필수로 알려진 두 가지 구성 중 하나를 가지고 있습니다:
SSL/TLS 압축이 활성화되어 있습니다.
TLS가 버전 4 이전의 SPDY 프로토콜을 알립니다.

...

결과

다음 구성은 원격 서비스가 CRIME 공격에 취약할 수 있다는 것을 나타냅니다:
버전 4 이전의 SPDY 지원이 알려집니다.

위 보고서는 Nessus가 TLS가 버전 4 이전의 SPDY 프로토콜을 알리는지만 확인한다는 것을 나타냅니다. 공격을 수행하지 않으며 압축이 활성화되어 있는지 확인하지 않습니다. Nessus 스캐너만으로는 SPDY 압축이 비활성화되어 있고 CRIME 취약성의 대상이 아니라는 것을 확인할 수 없습니다.

참고