'푸들'에 해당되는 글 2건

  1. 2014.11.03 ‘푸들’ 취약점으로 본 웹 암호화 보안 위험성
  2. 2014.10.20 OpenSSL 다중 취약점 보안업데이트
2014. 11. 3. 18:55

‘푸들’ 취약점으로 본 웹 암호화 보안 위험성

TLS 암호화기술, SSL과 하위 호환돼 푸들 공격 위험성 상존 

SSL 3.0 기술을 서버·브라우저에서 비활성화, 하위 호환 차단해야 

http://www.boannews.com/media/view.asp?idx=43838&kind=4


▲ ProxySGs의 기본 설정은 클라이언트에서 SSLv3 커넥션을 차단하도록 되어 있으며, SSL 구성 메뉴에서 관련 정책을 설정할 수 있다.


구글 소속 연구원들이 SSL 3.0 웹 암호화 기술의 취약점을 발견해 ‘푸들’(Padding Oracle On Downloaded Legacy Encryption, POODLE)이라 이름 짓고 보안관계자들에게 주의를 당부했다. SSL 3.0은 만들어진 지 18년이 다 된 기술로, 대부분의 브라우저와 웹사이트들이 사용하고 있다. 그러므로 이 기술의 보안취약점은 심각한 피해를 일으킬 수 있다.


▲ 클라이언트 SSLv3 해제 방법: ProxySG 사용자가 해당 프로토콜을 수용하는 서버에서 SSLv3 연결을 차단하기 위해서는 SSLv3 및 SSLv2를 거부하는 SSL 접근계층 (SSL Access Layer)을 생성하면 된다.


이 푸들 취약점은 암호화 통신 프로토콜 SSL 버전3에서만 존재한다. SSLv3는 1996년도에 SSLv2의 심각한 취약성을 해결하기 위해 처음 공개된 것으로 1999년 TLSv1로 대체됐다. 공식 최근 버전은 2008년 릴리즈 된 TLS 1.2이며, 현재 초안 작업이 이루어지고 있는 TLS 1.3 버전이 곧 공개될 예정이다. SSLv3는 15년의 기간을 거치며 복호화되었으나, 여전히 웹 서버의 98%는 이를 지원하고 있는 상황이다.


블루코트에서는 당분간 SSLv3 사용을 중지하라고 권고하고 있다. ProxySGs의 기본 설정은 클라이언트에서 SSLv3 커넥션을 차단하도록 되어 있으며, SSL 구성 메뉴에서 관련 정책을 설정할 수 있다.




출처 : 보안뉴스


Trackback 0 Comment 0
2014. 10. 20. 18:09

OpenSSL 다중 취약점 보안업데이트


개요

  • OpenSSL에서 발생한 메모리 고갈 취약점, 푸들(Poodle, Padding Oracle On Downloaded Legacy Encryption) 취약점 등 총 4개의 취약점을 보완한 보안업데이트를 발표함[1]


설명

  • DTLS SRTP 핸드쉐이크 메시지를 처리하는 중 발생하는 메모리 고갈 취약점 (CVE-2014-3513)
  • SSL/TLS/DTLS 서버에서 session ticket 값을 받을 때 발생하는 메모리 고갈 취약점 (CVE-2014-3567)
  • SSL3.0에서 다운 그레이드를 통해 MITM(man-in-the-middle)공격을 가능하게 하는 푸들(Poodle, Padding Oracle On Downloaded Legacy Encryption) 취약점 (CVE-2014-3566)
  • OpenSSL build option인 no-ssl3에서 발생한 취약점 (CVE-2014-3568)


해당 시스템

  • 영향 받는 제품 및 버전
    • OpenSSL 0.9.8 대 버전
    • OpenSSL 1.0.0 대 버전
    • OpenSSL 1.0.1 대 버전


해결 방안

  • 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]
    • OpenSSL 0.9.8 사용자 : 0.9.8zc로 업데이트
    • OpenSSL 1.0.0 사용자 : 1.0.0o로 업데이트
    • OpenSSL 1.0.1 사용자 : 1.0.1j로 업데이트


용어 설명

  • DTLS(Datagram Transport Layer Security) : 데이터 그램 전송계층을 보호하기 위한 UDP 기반 TLS 프로토콜
  • SRTP(Secure Real-time Transport Protocol) : 실시간으로 전송되는 멀티미디어 데이터를 암호화하여 송수신하는 프로토콜


기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 


[참고사이트]
[1] https://www.openssl.org/news/secadv_20141015.txt
[2] https://www.openssl.org/


Trackback 0 Comment 0