传输层安全 (TLS) 协议 CRIME 漏洞

low Nessus 插件 ID 62565

简介

远程服务包含可能使其容易遭受 CRIME 攻击的配置。

描述

远程服务包含已知 CRIME 攻击所需的两种配置之一:

- 启用了 SSL / TLS 压缩。

- TLS 公告低于版本 4 的 SPDY 协议。

请注意,Nessus 未尝试发起针对远程服务的 CRIME 攻击。

解决方案

请禁用压缩和/或 SPDY 设备。

另见

https://www.iacr.org/cryptodb/data/paper.php?pubkey=3091

http://www.nessus.org/u?c44d5826

https://bz.apache.org/bugzilla/show_bug.cgi?id=53219

插件详情

严重性: Low

ID: 62565

文件名: ssl_crime.nasl

版本: 1.15

类型: remote

系列: General

发布时间: 2012/10/16

最近更新时间: 2023/1/6

配置: 启用偏执模式

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 4.9

CVSS v2

风险因素: Low

基本分数: 2.6

时间分数: 1.9

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2012-4930

漏洞信息

必需的 KB 项: Settings/ParanoidReport, SSL/Supported

易利用性: No known exploits are available

漏洞发布日期: 2012/9/15

参考资料信息

CVE: CVE-2012-4929, CVE-2012-4930

BID: 55704, 55707