2015. 3. 4. 20:10

‘FREAK’ SSL 취약점 주의

패치 완료 전까지 크롬, 파이어폭스 등 브라우저 사용해야

http://www.boannews.com/media/view.asp?idx=45546


얼마 전 우리나라를 떠들썩하게 만들었던 하트블리드(Open SSL) 취약점의 여운이 채 가시기도 전에 새로운 SSL 취약점이 발견되어 사용자들의 보안 우려가 높아지고 있다.



프랑스 국립 연구소(INRIA) 및 MS사에서는 SSL을 통해 강제로 취약한 RSA로 다운 그레이드 시킬 수 있는 취약점(CVE-2015-0204)을 발견했다.


해당 취약점은 OpenSSL s3_clnt.c의 ssl3_get_key_exchange 함수에서 발생하는 취약점으로, 공격자가 중간자 공격(MITM Attack)을 통해 512비트 RSA로 다운 그레이드시켜 정보를 유출시킬 수 있는 취약점이다.


Vulnerable software and versions

+ Configuration 1

+ OR

* cpe:/a:openssl:openssl:0.9.8zc and previous versions

* cpe:/a:openssl:openssl:1.0.0a

* cpe:/a:openssl:openssl:1.0.0b

* cpe:/a:openssl:openssl:1.0.0c

* cpe:/a:openssl:openssl:1.0.0d

* cpe:/a:openssl:openssl:1.0.0e

* cpe:/a:openssl:openssl:1.0.0f

* cpe:/a:openssl:openssl:1.0.0g

* cpe:/a:openssl:openssl:1.0.0h

* cpe:/a:openssl:openssl:1.0.0i

* cpe:/a:openssl:openssl:1.0.0j

* cpe:/a:openssl:openssl:1.0.0k

* cpe:/a:openssl:openssl:1.0.0l

* cpe:/a:openssl:openssl:1.0.0m

* cpe:/a:openssl:openssl:1.0.0n

* cpe:/a:openssl:openssl:1.0.0o

* cpe:/a:openssl:openssl:1.0.1j

* cpe:/a:openssl:openssl:1.0.1i

* cpe:/a:openssl:openssl:1.0.1h

* cpe:/a:openssl:openssl:1.0.1g

* cpe:/a:openssl:openssl:1.0.1f

* cpe:/a:openssl:openssl:1.0.1e

* cpe:/a:openssl:openssl:1.0.1d

* cpe:/a:openssl:openssl:1.0.1c

* cpe:/a:openssl:openssl:1.0.1b

* cpe:/a:openssl:openssl:1.0.1a


[용어 설명]

RSA(Rivest Shamir Adleman) : 전자상거래 등에 광범위하게 이용되는 인터넷 암호화 및 인증을 위한 암호기술의 한 종류

OpenSSL : SSL/TLS를 구현할 때 사용하는 오픈 소스 라이브러리

SSL/TLS : 인터넷 서비스에서 데이터를 안전하게 송수신하기 위한 프로토콜


[참고사이트]

1. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204

[민세아 기자(boan5@boannews.com)]



출처 : 보안뉴스


Trackback 0 Comment 2
  1. 행인 2015.03.17 15:05 address edit & del reply

    cve-2015-0204 에는 MS 제품 얘기는 없던데요.. Windows도 문제가 있는 게 맞나요? cve-2015-1637 에 보면 비슷한 취약점으로 MS 제품 얘기가 있던데요.. 흠흠..