아이디저장
 
   
Home > Give & Take > CONCERT Hot Line
한국침해사고대응팀협의회
  [KrCERT]OpenSSL 다중 취약점 보안업데이트 권고문
  사무국   관리자   2014-06-10   

어제 CONCERT Hot Line을 통해 OpenSSL 신규취약점에 대해 안내드린 바 있으나, 금일 KrCERT에서 보안업데이트 권고문이 발행되었습니다.

취약점이 패치된 버전에 대한 안내는 어제 메일에도 있었지만,
각 취약점의 동작에 대한 부분이 보안업데이트 권고문에 잘 설명되어 있어
첨부로 공유하오니 해당 내용 참고하시어
취약점이 없는 버전으로 조속히 업데이트 하시길 권해드립니다.

O 개요

 

통신 구간 암호화를 위해 사용되는 OpenSSL 라이브러리에서 6종의 신규 취약점을 보완한 보안 업데이트를 발표

    http://www.openssl.org/news/secadv_20140605.txt

 

O 취약점 내용

 

취약한 OpenSSL 버전을 사용하는 시스템 및 소프트웨어에 특수하게 조작된 패킷을 전송할 경우,

통신 암호화 데이터의 복호화, 임의의 코드 실행, 서비스 거부 공격(DOS)이 발생할 수 있음

연번

CVE 번호

취약점 내용

영향

1

CVE-2014-0224

서버와 암호통신을 위해 수행하는 Hand shaking 과정에서 CCS 메시지가 비정상적인 시점에도 전송 가능한 취약점

통신 데이터

복호화

2

CVE-2014-0221

비정상적인 DTLS Hand shaking 메시지를 DTLS 클라이언트에 전송할 경우 OpenSSL에 서비스 거부 공격이 가능한 취약점

서비스 거부

3

CVE-2014-0195

OpenSSL 클라이언트 또는 서버에 비정상적인 크기의 DTLS 메시지 조각을 전송하여 버퍼 오버플로우를 유발시키는 취약점

임의 코드 실행

4

CVE-2014-3470

암호 통신에 ECDH 암호 알고리즘을 사용할 경우, 서비스 거부 상태에 빠지게 할 수 있는 취약점

서비스 거부

5

CVE-2010-5298

SSL_MODE_RELEASE_BUFFERS 옵션이 활성화 되어있는 경우, 공격자에 의해 데이터 삽입 공격 또는 서비스 거부 공격이 가능한 취약점

서비스 거부

6

CVE-2014-0198

SSL_MODE_RELEASE_BUFFERS 옵션이 활성화 되어 있는 경우, 공격자에 의해 서비스 거부 공격이 가능한 취약점

서비스 거부

* 용어 설명

- CSS(Changecipherspec) :서버와 클라이언트 상호간에 사전에 협의한 암호화 규격을 지금부터 사용하겠다고 상대방에게 알리는 메시지

- DTLS(Datagram Transport Layer Security) : UDP 기반 전송 계층 암호화(VOIP, 영상 스트리밍 서비스 등 UDP 통신 데이터 보호에 사용)

- 서비스 거부 : 운영 시스템이 취약점으로 인해 CPU 점유율이 상승하여 정상적인 서비스를 방해

- ECDH : 타원 곡선 암호화 알고리즘(OpenSSL의 암호화 키 교환을 타원 곡선 암호화를 사용할 경우)

- SSL_MODE_RELEASE_BUFFERS : OpenSSL에서 메모리 사용량을 최적화시키기 위한 옵션(OpenSSL에서 디폴트설정은 비활성화)

 

O 취약점에 영향 받는 버전

- OpenSSL 0.9.8 대 버전 사용자

- OpenSSL 1.0.0 대 버전 사용자

- OpenSSL 1.0.1 대 버전 사용자

 

O 해결 방안

 

- 해당 취약점을 해결하기 위해서는 지난 6 5일에 배포된 OpenSSL 0.9.8za, 1.0.0m, 1.0.1h 버전으로 업데이트

- 지난 번 허트블리드 취약점과 관련된 1.0.1대 버전 뿐만 아니라 0.9.8, 1.0.0 대 버전도 보안업데이트가 필요

  OpenSSL 0.9.8 대 버전 사용자 : 0.9.8za 버전으로 업데이트

  OpenSSL 1.0.0 대 버전 사용자 : 1.0.0m 버전으로 업데이트

  openSSL 1.0.1 대 버전 사용자 : 1.0.1h 버전으로 업데이트

 

감사합니다.

  [KISA] OpenSSL 다중 취약점 보안 업데이트 권고문.pdf
  CONCERT Hot Line 게시판 이용안내 사무국 2013-04-10
401   국내 은행대상 DDoS 공격 협박 사무국 2017-06-21
400   3/28 中 홍커연맹의 한국 웹사이트 공격예고에 대… 사무국 2017-03-22
399   개인정보보호법 해설서&개인정보의 안정성확보조… 사무국 2017-01-05
398   웹 브라우저 암호 고도화 정책에 따른 주의 권고 사무국 2016-01-06
397   MS Font 드라이버 원격코드 실행 신규 취약점 보… 사무국 2015-07-21
396   [KrCERT] HTTP.sys 취약점(CVE-2015-1635) 보안조… 사무국 2015-04-16
395   정보보안 기사/산업기사 저자무료특별강의 wjcio 2015-03-11
394   윈도서버 2003 보안 서비스 지원 종료 관련 보안 … 사무국 2015-03-09
393   [KrCERT]리눅스 Ghost 취약점 보안 업데이트 권고 사무국 2015-01-29
392   Gnu bash 취약점(ShellShock) 조치 현황 조사 요… 사무국 2014-10-01
391   [KrCERT]OpenSSL 다중 취약점 보안업데이트 권고… 사무국 2014-06-10
390   [KISA/금융보안연구원]OpenSSL 다중취약점 보안업… 사무국 2014-06-09
389   [KrCERT/CC]GoZeus, CryptoLocker 악성코드 피해… 사무국 2014-06-03
388   MS IE 제로데이 취약점 조치방법 공유 사무국 2014-04-30
387   KISA, OpenSSL의 취약점 악용한 공격 주의 당부 사무국 2014-04-10
   1 2 3 4 5 6 7 8 9 10    
 
개인정보취급방침