본문 바로가기

서버구축208

이메일 인증을 통한 SSL 인증서 발급 주의 개요SSL 인증서 발급 기관은 인증서 발급을 위해 ‘이메일 인증’을 지원인증에 이용되는 이메일 주소가 공격자 또는 제3자에 의해 사용이 가능할 경우, SSL 인증서 발급을 통해 HTTPS 통신 데이터의 변조 등이 가능[1] 설명SSL 인증서 발급 기관은 이메일 인증을 사용할 수 있는 관리자용 이메일 계정을 특정 계정(admin@yourdomain.com 등)으로 제한하여 인증을 제공인증서 발급 기관에서 허용한 관리자용 이메일 주소를 공격자 또는 제3자가 사용이 가능한 경우, 해당 이메일을 통해 유효한 SSL 인증서를 발급받아 사용자 모르게 HTTPS 통신 내용을 변조하거나 도청 해결 방안이메일 계정을 생성하는 관리자는 SSL 인증서 발급 기관이 허용한 특정 이메일 계정의 생성을 제한- 일반 사용자에 대해.. 2015. 3. 30.
OpenSSL 다중 취약점 보안업데이트 개요취약한 OpenSSL 버전을 사용하는 서버와 클라이언트 사이에서 공격자가 암호화된 데이터를 복호화할 수 있는 취약점, 서비스 거부 취약점 등 14개의 취약점을 보완한 보안업데이트를 발표[1] 설명NULL 포인터 역참조에 의한 서비스 거부 공격에 악용될 수 있는 취약점 (CVE-2015-0291)OpenSSL RSA 암호화 키를 512비트로 다운그레이드 시키는 취약점(FREAK, CVE-2015-0204)멀티 블록 포인터 손상에 의한 서비스 거부 공격에 악용될 수 있는 취약점(CVE-2015-0290)DTLSv1_listen 함수에서 잘못된 메모리 접근으로 인해 서비스 거부 공격에 악용될 수 있는 취약점 (CVE-2015-0207)ASN1_TYPE_cmp 함수에서 잘못된 메모리 접근으로 인해 서비스 거.. 2015. 3. 23.
Security/Server Side TLS Recommended configurations Recommended configurationsThree configurations are recommended. Pick the right configuration depending on your audience. If you do not need backward compatibility, and are building a service for modern clients only (post FF27), then use the Modern configuration. Otherwise, prefer the Intermediate configuration. Use the Old backward compatible configuration only if your service will be accessed b.. 2015. 3. 6.
‘FREAK’ SSL 취약점 주의 패치 완료 전까지 크롬, 파이어폭스 등 브라우저 사용해야http://www.boannews.com/media/view.asp?idx=45546 얼마 전 우리나라를 떠들썩하게 만들었던 하트블리드(Open SSL) 취약점의 여운이 채 가시기도 전에 새로운 SSL 취약점이 발견되어 사용자들의 보안 우려가 높아지고 있다. 프랑스 국립 연구소(INRIA) 및 MS사에서는 SSL을 통해 강제로 취약한 RSA로 다운 그레이드 시킬 수 있는 취약점(CVE-2015-0204)을 발견했다. 해당 취약점은 OpenSSL s3_clnt.c의 ssl3_get_key_exchange 함수에서 발생하는 취약점으로, 공격자가 중간자 공격(MITM Attack)을 통해 512비트 RSA로 다운 그레이드시켜 정보를 유출시킬 수 있는 취.. 2015. 3. 4.
NTP 다중 취약점 보안 업데이트 □ 개요NTP(Network Time Protocol)에서 발생한 원격코드실행 등 총 4개의 취약점을 보완한 보안 업데이트를 발표[1]공격자는 취약점에 영향 받는 시스템에 악의적인 명령어 실행 등의 피해를 발생시킬 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고 □ 설명ntp.conf파일에 인증키를 정의하지 않았을 때 취약한 기본 키를 생성하는 취약점(CVE-2014-9293)암호화에 취약한 난수를 사용하는 취약점(CVE-2014-9294) 3개 함수(crypto_recv, ctl_putdata, configure)에서 발생하는 스택오버플로우 취약점(CVE-2014-9295)특정 에러 발생 시 프로세스가 중지하지 않는 취약점(CVE-2014-9296) □ 영향 받는 소프트웨어NTP 4.2.8 이전.. 2014. 12. 22.
728x90