OSSN/OSSN-0037

配置 Horizon 以缓解 BREACH/CRIME 攻击

总结

Horizon 在默认配置下容易受到 BREACH/CRIME 类型的选择明文攻击。

受影响的服务 / 软件

Horizon, Django, Apache, Nginx, SSL, TLS

讨论

BREACH 攻击可能会被用来破坏 Django 的跨站请求伪造 (CSRF) 保护。OpenStack 的 Horizon Web 仪表板是基于 Django 框架构建的，因此受到影响。Horizon 本身没有可用的修复方案，但有一些保护选项。

BREACH 利用在通过 SSL/TLS 提供压缩数据时的漏洞。

建议的操作

由于 BREACH 与提供压缩数据有关，禁用 Web 响应的压缩可以用来缓解这类攻击。一些方法包括：

禁用 Django 的 GZIP 中间件

• https://docs.django.ac.cn/en/dev/ref/middleware/#module-django.middleware.gzip

在您的 Web 服务器配置中禁用 GZip 压缩。对于 Apache httpd，可以通过禁用 mod_deflate 来实现。

• https://httpd.apache.org/docs/2.2/mod/mod_deflate.html

对于 Nginx，可以通过禁用 gzip 模块来实现。

• http://wiki.nginx.org/HttpGzipModule

联系方式 / 参考文献

• 作者：Robert Clark, HP
• 此 OSSN： https://wiki.openstack.org/wiki/OSSN/OSSN-0037
• 原始 LaunchPad Bug： https://bugs.launchpad.net/ossn/+bug/1209250
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg
• Django 关于 BREACH 的建议： https://django.ac.cn/weblog/2013/aug/06/breach-and-django/
• 更多关于 BREACH 的信息： http://breachattack.com/