我们如何管理 TLS 协议 CRIME 漏洞

CRIME 是一种针对使用 HTTPS 和 SPDY 协议（这些协议也使用数据压缩）的连接中秘密 Web cookies 的安全攻击。当用于恢复秘密身份验证 cookies 的内容时，它允许攻击者在已认证的 Web 会话中执行会话劫持，从而能够发起进一步的攻击。

描述

TLS 协议 CRIME 漏洞影响使用 HTTPS 数据压缩的系统。如果您使用 SSL 压缩（例如 Gzip）或 SPDY（可选择使用压缩），您的系统可能容易受到 CRIME 漏洞的影响。

GitLab 支持 Gzip 和 SPDY，并通过在启用 HTTPS 时禁用 Gzip 来缓解 CRIME 漏洞。文件源代码如下：

• 自编译安装的 NGINX 文件
• Linux 包安装的 NGINX 文件

尽管在 Linux 包安装中启用了 SPDY，但 CRIME 依赖于压缩（‘C’ 部分），而 NGINX SPDY 模块的默认压缩级别为 0（无压缩）。

Nessus

Nessus 扫描器在 GitLab 中报告了一个可能的 CRIME 漏洞，格式如下：

描述

此远程服务具有 CRIME 攻击所需的两种配置之一：
SSL/TLS 压缩已启用。
TLS 宣传的 SPDY 协议版本早于 4。

...

输出

以下配置表明远程服务可能容易受到 CRIME 攻击：
宣传的 SPDY 支持版本早于 4。

上述报告表明，Nessus 只检查 TLS 是否宣传的 SPDY 协议版本早于 4。它不执行攻击，也不检查是否启用了压缩。仅凭 Nessus 扫描器无法判断 SPDY 压缩已禁用，因此不会受到 CRIME 漏洞的影响。

参考资料

• NGINX "ngx_http_spdy_module 模块"
• Tenable Network Security, Inc. “传输层安全 (TLS) 协议 CRIME 漏洞”
• Wikipedia 贡献者，“CRIME” 维基百科，自由百科全书