TLS 프로토콜 CRIME 취약점 관리 방법

TLS 프로토콜 CRIME 취약점 관리 방법에 대해 설명합니다.

CRIME 은 데이터 압축도 사용하는 HTTPS 및 SPDY 프로토콜을 사용하는 연결을 통한 비밀 웹 쿠키에 대한 보안 취약점입니다. 비밀 인증 쿠키의 내용을 복구하는 데 사용될 때 공격자가 인증된 웹 세션에서 세션 하이재킹을 수행하여 추가 공격을 시작할 수 있게 합니다. 설명 # TLS 프로토콜 CRIME 취약점은 HTTPS를 통해 데이터 압축을 사용하는 시스템에 영향을 미칩니다. SSL 압축(예: Gzip) 또는 SPDY(선택적으로 압축 사용)를 사용하는 경우 시스템이 CRIME 취약점에 취약할 수 있습니다. GitLab은 Gzip과 SPDY 를 모두 지원하며 HTTPS가 활성화되면 Gzip을 비활성화하여 CRIME 취약점을 완화합니다. 파일 소스는 다음과 같습니다: Self-compiled 설치 NGINX 파일 Linux 패키지 설치 NGINX 파일 SPDY는 Linux 패키지 설치에서 활성화되어 있지만 CRIME은 압축('C')에 의존하며 NGINX SPDY 모듈의 기본 압축 수준은 0(압축 없음)입니다. Nessus # Nessus 스캐너는 GitLab에서 다음과 유사한 형식으로 CRIME 취약점 가능성을 보고 합니다: Description This remote service has one of two configurations that are known to be required for the CRIME attack: SSL/TLS compression is enabled. TLS advertises the SPDY protocol earlier than version 4. ... Output The following configuration indicates that the remote service may be vulnerable to the CRIME attack: SPDY support earlier than version 4 is advertised. 이전 보고서는 Nessus가 TLS가 버전 4 이전의 SPDY 프로토콜을 알리는지만 확인한다는 것을 나타냅니다. 공격을 수행하거나 압축이 활성화되어 있는지 확인하지 않습니다. Nessus 스캐너만으로는 SPDY 압축이 비활성화되어 있고 CRIME 취약점의 영향을 받지 않는다는 것을 알 수 없습니다. 참조 # NGINX "모듈 ngx_http_spdy_module " Tenable Network Security, Inc. "Transport Layer Security (TLS) Protocol CRIME Vulnerability" Wikipedia 기여자, "CRIME" Wikipedia, The Free Encyclopedia