'서버구축 (WEB,DB)'에 해당되는 글 226건

  1. 2016.12.02 NTP 다중 취약점 보안 업데이트
  2. 2016.11.16 OpenSSL 다중 취약점 보안 업데이트
  3. 2016.11.09 BIND 소프트웨어 보안 업데이트
2016.12.02 08:00

NTP 다중 취약점 보안 업데이트

□ 개요
o NTP(Network Time Protocol)에서 발생한 서비스 거부 등 총 10개의 취약점을 보완한 보안 업데이트를 발표[1]
o 공격자는 취약점에 영향 받는 시스템에 악의적인 명령어 실행 등의 피해를 발생시킬 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

 

□ 설명
o NULL 포인터 역 참조를 통한 서비스 거부 취약점(CVE-2016-9311)
o 인증되지 않은 트랩 정보 유출 및 DDOS 공격 취약점(CVE-2016-9310)
o 브로드캐스트 모드 재사용 방지를 통한 서비스 거부 취약점(CVE-2016-7427)
o 브로드캐스트 모드 폴링 간격 집행 서비스 거부 취약점(CVE-2015-7428)
o 과도한 UDP 패킷 수신을 통한 서비스 거부 취약점(CVE-2015-9312)
o timestamp 유효성 검사 우회 취약점(CVE-2016-7431)
o read_mru_list() 부적절한 패킷 검사로 인한 서비스 거부 취약점(CVE-2016-7434)
o 잘못된 인터페이스 패킷 전송으로 인한 서비스 거부 취약점(CVE-2016-7429)
o 응답 속도 제한으로 인한 서비스 거부 취약점(CVE-2016-7426)
o root 거리 오류로 인한 서비스 거부 취약점(CVE-2016-7433)

 

□ 영향 받는 소프트웨어
o NTP 4.2.8p9 이전 버전

 

□ 해결 방안
o 해당 취약점에 영향 받는 사용자는 아래 공식 업데이트 사이트에 방문하여 NTP 4.2.8p9버전으로 보안 업데이트 적용
 * 공식 업데이트 사이트 : http://support.ntp.org/bin/view/Main/SoftwareDownloads

 

□ 용어 정리
o NTP(Network Time Protocol) : 컴퓨터 시스템의 시간 동기화를 위한 프로토콜

 

□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]
[1] http://support.ntp.org/bin/view/Main/SecurityNotice
[2] http://www.ntp.org/downloads.html


Trackback 0 Comment 0
2016.11.16 19:58

OpenSSL 다중 취약점 보안 업데이트

□ 개요                                       
o OpenSSL에서 발생한 힙 오버플로우 취약점, Null 포인터 역참조 취약점 등 총 3개의 취약점을 보완한 보안 업데이트를 발표함 [1]
 
□ 설명
o OpenSSL의 ASN.1 CHOICE 데이터를 조작 가능한 Null 포인터 역참조 취약점(CVE-2016-7053)
o TLS 연결 시 사용하는 CHACHA20/Poly1305 암호화 방식에서 서비스 거부가 발생할 수 있는 힙 오버플로우 취약점

   (CVE-2016-7054)
o Montgomery Multiplication 알고리즘의 입력 값이 256bit보다 많을 시 잘못된 결과 값을 리턴할 수 있는 취약점

   (CVE-2016-7055)
 
□ 해당 시스템
o 영향을 받는 제품 및 버전
- OpenSSL 1.1.0b 이하 버전
  ※ OpenSSL 1.1.0 대 버전만 해당되며, 1.0.2, 1.0.1대 버전은 해당 취약점에 영향을 받지 않음


□ 해결 방안
o OpenSSL 1.1.0b 이하 버전 사용자는 1.1.0c 버전으로 업데이트 [2]
  ※ OpenSSL 0.9.8, 1.0.0 버전은 더 이상 업데이트 지원을 하지 않으니 해당 버전 사용자는 업데이트를 지원하는

      OpenSSL 1.1.0, 1.0.2,  1.0.1 버전으로 변경할 것을 권고함


o Null 포인터 역참조 취약점 : Null 포인터에 어떠한 값을 대입하려고 할 때 발생하는 취약점
o Montgomery Multiplication 알고리즘 : RSA 암호시스템에서 요구되는 모듈러 곱셈 구현을 효율적으로 하기 위한 알고리즘
 
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://www.openssl.org/news/secadv/20161110.txt
[2] https://www.openssl.org/source/


Trackback 0 Comment 0
2016.11.09 20:26

BIND 소프트웨어 보안 업데이트

□ 개요
 o ISC는 BIND에서 발생하는 원격 서비스 거부(Denial of Service) 취약점을 해결한 보안 업데이트를 발표[1]
 
□ 설명
 o DNAME 레코드를 처리하는 과정에서 서비스 거부를 유발할 수 있는 취약점(CVE-2016-8864)
 
□ 영향 받는 소프트웨어
 o BIND 9.0.x ~ 9.8.x
 o BIND 9.9.0 ~ 9.9.9-P3
 o BIND 9.9.3-S1 ~ 9.9.9-S5
 o BIND 9.10.0 ~ 9.10.4-P3
 o BIND 9.11.0

□ 해결 방안
 o BIND 9 버전 9.9.9-P4로 업데이트
 o BIND 9 버전 9.10.4-P4로 업데이트
 o BIND 9 버전 9.11.0-P1로 업데이트

□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
[참고사이트]
[1] https://kb.isc.org/article/AA-01434/0%20(ISC)


Trackback 0 Comment 0