'하트블리드'에 해당되는 글 3건

  1. 2015.03.04 ‘FREAK’ SSL 취약점 주의 (2)
  2. 2015.01.07 2015년 가장 주목해야 할 보안위협 5가지
  3. 2014.10.14 2014년 우리를 힘들게 한 보안이슈 11가지
2015.03.04 20:10

‘FREAK’ SSL 취약점 주의

패치 완료 전까지 크롬, 파이어폭스 등 브라우저 사용해야

http://www.boannews.com/media/view.asp?idx=45546


얼마 전 우리나라를 떠들썩하게 만들었던 하트블리드(Open SSL) 취약점의 여운이 채 가시기도 전에 새로운 SSL 취약점이 발견되어 사용자들의 보안 우려가 높아지고 있다.



프랑스 국립 연구소(INRIA) 및 MS사에서는 SSL을 통해 강제로 취약한 RSA로 다운 그레이드 시킬 수 있는 취약점(CVE-2015-0204)을 발견했다.


해당 취약점은 OpenSSL s3_clnt.c의 ssl3_get_key_exchange 함수에서 발생하는 취약점으로, 공격자가 중간자 공격(MITM Attack)을 통해 512비트 RSA로 다운 그레이드시켜 정보를 유출시킬 수 있는 취약점이다.


Vulnerable software and versions

+ Configuration 1

+ OR

* cpe:/a:openssl:openssl:0.9.8zc and previous versions

* cpe:/a:openssl:openssl:1.0.0a

* cpe:/a:openssl:openssl:1.0.0b

* cpe:/a:openssl:openssl:1.0.0c

* cpe:/a:openssl:openssl:1.0.0d

* cpe:/a:openssl:openssl:1.0.0e

* cpe:/a:openssl:openssl:1.0.0f

* cpe:/a:openssl:openssl:1.0.0g

* cpe:/a:openssl:openssl:1.0.0h

* cpe:/a:openssl:openssl:1.0.0i

* cpe:/a:openssl:openssl:1.0.0j

* cpe:/a:openssl:openssl:1.0.0k

* cpe:/a:openssl:openssl:1.0.0l

* cpe:/a:openssl:openssl:1.0.0m

* cpe:/a:openssl:openssl:1.0.0n

* cpe:/a:openssl:openssl:1.0.0o

* cpe:/a:openssl:openssl:1.0.1j

* cpe:/a:openssl:openssl:1.0.1i

* cpe:/a:openssl:openssl:1.0.1h

* cpe:/a:openssl:openssl:1.0.1g

* cpe:/a:openssl:openssl:1.0.1f

* cpe:/a:openssl:openssl:1.0.1e

* cpe:/a:openssl:openssl:1.0.1d

* cpe:/a:openssl:openssl:1.0.1c

* cpe:/a:openssl:openssl:1.0.1b

* cpe:/a:openssl:openssl:1.0.1a


[용어 설명]

RSA(Rivest Shamir Adleman) : 전자상거래 등에 광범위하게 이용되는 인터넷 암호화 및 인증을 위한 암호기술의 한 종류

OpenSSL : SSL/TLS를 구현할 때 사용하는 오픈 소스 라이브러리

SSL/TLS : 인터넷 서비스에서 데이터를 안전하게 송수신하기 위한 프로토콜


[참고사이트]

1. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204

[민세아 기자(boan5@boannews.com)]



출처 : 보안뉴스


Trackback 0 Comment 2
  1. 행인 2015.03.17 15:05 address edit & del reply

    cve-2015-0204 에는 MS 제품 얘기는 없던데요.. Windows도 문제가 있는 게 맞나요? cve-2015-1637 에 보면 비슷한 취약점으로 MS 제품 얘기가 있던데요.. 흠흠..

2015.01.07 20:04

2015년 가장 주목해야 할 보안위협 5가지

악성코드·랜섬웨어·APT·취약점·금융보안·IoT 보안위협 등

더욱 정교화된 보안위협으로 발전·확산 예상

http://www.boannews.com/media/view.asp?idx=44994


▲ 지난해 기승을 부렸던 보안위협들은 2015년 더욱 지능화되고 정교화된 보안위협으로

   발전·확산될 것으로 예상된다.


보안위협 하나. 악성코드·랜섬웨어의 고도화 및 피해 확산

안랩은 올해 악성코드는 공격 대상별 타깃형·맞춤형 유포와 함께 동작방식이 점차 진화될 것으로 전망했다. 예를 들어 스피어피싱(Spear Phishing) 이메일을 연말에는 송년회 모임 안내로, 연초에는 새해인사로, 해당 시기에 맞춰 발송하거나 첨부파일명과 내용도 실제 모임을 안내하는 문서로 만들어 악성코드를 유포시키는 방식이다.


보안위협 둘. IoT의 발전에 따른 보안위협과 사회적 관심 증가

2019년까지 500억개 이상 IoT 단말기 및 연결 개체수의 증가가 예상되는 가운데 맥아피는 IP카메라, Smart Meter, 헬스케어 및 SCADA 디바이스에 대한 공격, IoT 디바이스 내이 데이터 가치로 인한 공격빈도가 가파르게 증가할 것으로 예상했다.


보안위협 셋. 모바일·PC·POS 등 강력한 금융보안 위협 확대

올해에는 핀테크(FinTech) 개념의 여러 가지 모바일 금융결제 서비스가 본격 도입될 것으로 예상된다. 이에 대해 이스트소프트는 핀테크가 확대되면 금융거래 및 결제프로세스가 간소화되면서 사용자들에게는 편의성이 향상되는 반면, 새로운 모바일 금융결제 서비스 이용자들을 노린 공격도 발생할 가능성이 높다고 전망했다.


보안위협 넷. 오픈소스 취약점 및 정보유출

지난 2014년에는 ‘하트블리드(Heartbleed)’나 ‘쉘쇼크(ShellShock)’와 같은 오픈소스 취약점이 연이어 공개됐다. 이 취약점들은 새로운 것이라기 보다는 오랜 기간 잠재된 문제점이 구체적으로 악용되기 시작한 사례라 볼 수 있다.


보안위협 다섯. 더 정교해진 APT 공격

카스퍼스키랩은 2014년에 발생했던 APT공격들이 ‘정교’했다면 2015년에는 ‘교묘’해질 것으로 예상했다. APT 공격 집단들은 공격을 숨기기 위해 앞으로 더욱 은밀하고 교활해질 것이라는 것. 지난해 카스퍼스키랩은 제로 데이(Zero-day)를 사용한 APT 공격을 발견했고, 새롭고 은밀한 수법들을 분석했다.




출처 : 보안뉴스


Trackback 0 Comment 0
2014.10.14 19:35

2014년 우리를 힘들게 한 보안이슈 11가지

카드사 고객정보 유출’ 1위, 주민번호 수집금지와 윈도우XP 순 
보안담당자들 힘들게 했던 이슈 11가지는?...더욱 힘든 건 ‘사람’

http://www.boannews.com/media/view.asp?idx=43447&kind=3


올해 초부터 보안 분야에서는 카드사 정보 유출, KT 해킹, 하트블리드 등과 같은 보안위협과 윈도우XP 서비스 지원 중단, 주민번호 수집금지, 스미싱 피해 확산에 이어 최근에는 배시 버그 사태 등 보안이슈가 끊이지 않았다. 



▲ 올 한해 보안담당자들을 힘들게 했던 11가지 보안이슈들은 무엇이었을까?(확인은 아래 표에서). 무엇보다 보안에 대해 무지한 경영진 등 내부 직원들이 가장 힘들게 하지 않았을까?


정부기관 및 기업 등의 정보보안 담당자 및 정보보안 책임자 등 정보보안 실무자 2782명을 대상으로 ‘올해를 지나면서 가장 큰 보안이슈는 무엇이었다고 보시나요?(중복응답)’라는 질문으로 설문조사를 진행했다.



OpenSSL 암호화 방식에서 나타난 보안취약점인 ‘하트블리드(Heartbleed)’ 버그는 핀란드 보안업체 코데노미콘의 연구원들에 의해 최초로 알려졌으며 ‘인터넷 역사상 최악의 버그’ 또는 ‘사상 최악의 인터넷 보안위협’으로까지 일컬어지면서 정보보안 담당자들을 긴장시켰기 때문으로 보인다. 그리고 최근에는 순위에는 포함되지 않았지만, 하트블리드 보다 더욱 위험하다는 배시 버그로 인해 전 세계가 떠들썩하다.


이 외에도 ‘스미싱·피싱 피해 확대(8위)’가 251명(13.9%), ‘소셜 엔지니어링 보안위협 부각(9위)’이 130명(7.2%), ‘웹사이트 해킹·웹셸 공격(10위)’이 130명(7.2%), ‘포스(POS) 단말기 해킹(11위)’ 119명 (6.6%), 그리고 ‘기타’ 의견이 3명(0.2%)이 있었다.




출처 : 보안뉴스



Trackback 0 Comment 0