패치 완료 전까지 크롬, 파이어폭스 등 브라우저 사용해야
http://www.boannews.com/media/view.asp?idx=45546
얼마 전 우리나라를 떠들썩하게 만들었던 하트블리드(Open SSL) 취약점의 여운이 채 가시기도 전에 새로운 SSL 취약점이 발견되어 사용자들의 보안 우려가 높아지고 있다.
프랑스 국립 연구소(INRIA) 및 MS사에서는 SSL을 통해 강제로 취약한 RSA로 다운 그레이드 시킬 수 있는 취약점(CVE-2015-0204)을 발견했다.
해당 취약점은 OpenSSL s3_clnt.c의 ssl3_get_key_exchange 함수에서 발생하는 취약점으로, 공격자가 중간자 공격(MITM Attack)을 통해 512비트 RSA로 다운 그레이드시켜 정보를 유출시킬 수 있는 취약점이다.
Vulnerable software and versions
+ Configuration 1
+ OR
* cpe:/a:openssl:openssl:0.9.8zc and previous versions
* cpe:/a:openssl:openssl:1.0.0a
* cpe:/a:openssl:openssl:1.0.0b
* cpe:/a:openssl:openssl:1.0.0c
* cpe:/a:openssl:openssl:1.0.0d
* cpe:/a:openssl:openssl:1.0.0e
* cpe:/a:openssl:openssl:1.0.0f
* cpe:/a:openssl:openssl:1.0.0g
* cpe:/a:openssl:openssl:1.0.0h
* cpe:/a:openssl:openssl:1.0.0i
* cpe:/a:openssl:openssl:1.0.0j
* cpe:/a:openssl:openssl:1.0.0k
* cpe:/a:openssl:openssl:1.0.0l
* cpe:/a:openssl:openssl:1.0.0m
* cpe:/a:openssl:openssl:1.0.0n
* cpe:/a:openssl:openssl:1.0.0o
* cpe:/a:openssl:openssl:1.0.1j
* cpe:/a:openssl:openssl:1.0.1i
* cpe:/a:openssl:openssl:1.0.1h
* cpe:/a:openssl:openssl:1.0.1g
* cpe:/a:openssl:openssl:1.0.1f
* cpe:/a:openssl:openssl:1.0.1e
* cpe:/a:openssl:openssl:1.0.1d
* cpe:/a:openssl:openssl:1.0.1c
* cpe:/a:openssl:openssl:1.0.1b
* cpe:/a:openssl:openssl:1.0.1a
[용어 설명]
RSA(Rivest Shamir Adleman) : 전자상거래 등에 광범위하게 이용되는 인터넷 암호화 및 인증을 위한 암호기술의 한 종류
OpenSSL : SSL/TLS를 구현할 때 사용하는 오픈 소스 라이브러리
SSL/TLS : 인터넷 서비스에서 데이터를 안전하게 송수신하기 위한 프로토콜
[참고사이트]
1. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204
[민세아 기자(boan5@boannews.com)]
출처 : 보안뉴스
댓글