본문 바로가기

OpenSSL20

728x90
OpenSSL 다중 취약점 보안 업데이트 □ 개요 o OpenSSL에서 발생한 힙 오버플로우 취약점, Null 포인터 역참조 취약점 등 총 3개의 취약점을 보완한 보안 업데이트를 발표함 [1] □ 설명 o OpenSSL의 ASN.1 CHOICE 데이터를 조작 가능한 Null 포인터 역참조 취약점(CVE-2016-7053) o TLS 연결 시 사용하는 CHACHA20/Poly1305 암호화 방식에서 서비스 거부가 발생할 수 있는 힙 오버플로우 취약점 (CVE-2016-7054) o Montgomery Multiplication 알고리즘의 입력 값이 256bit보다 많을 시 잘못된 결과 값을 리턴할 수 있는 취약점 (CVE-2016-7055) □ 해당 시스템 o 영향을 받는 제품 및 버전 - OpenSSL 1.1.0b 이하 버전 ※ OpenSSL .. 2016. 11. 16.
OpenSSL 다중 취약점 보안업데이트 □ 개요 o OpenSSL에서 발생한 서비스 거부 공격 취약점, Out-of-bounds 읽기/쓰기 취약점 등 총 14개의 취약점을 보완한 보안 업데이트를 발표함[1] □ 설명 o 클라이언트에서 많은 양의 OCSP 요청을 보낼 경우 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6304) o 특수하게 조작 된 레코드를 보낼 경우 SSL_peek의 결함으로 인해 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6305) o 3DES 대칭암호의 암호스위트를 지원하는 SSL/TLS 프로토콜에서 SWEET32 공격이 가능한 취약점(CVE-2016-2183) o MDC2_Update() 함수에서 오버플로우가 발생 해 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-6303) o tls_.. 2016. 9. 26.
Cisco 제품군 다중 취약점 보안 업데이트 □ 개요 o Cisco社는 자사의 제품에 영향을 주는 취약점을 해결한 보안 업데이트를 발표[1] o 공격자는 취약점에 영향 받는 시스템에 임의코드 실행 및 서비스 거부 등의 피해를 발생시킬 수 있으므로, 최신버전으로 업데이트 권고 □ 설명 o OpenSSL에서 발생하는 다수 취약점(CVE-2016-2105, 2106, 2107, 2108, 2109, 2176)[2] o Cisco Network Analysis Module 웹 인터페이스에서 원격 코드 실행이 가능한 취약점(CVE-2016-1388)[3] o Cisco Network Analysis Module의 IPv6 패킷 디코드 기능에서 서비스 거부(DOS)가 발생할 수 있는 취약점 (CVE-2016-1370)[4] o Cisco Prime Netwo.. 2016. 6. 2.
OpenSSL 긴급 보안 업데이트 □ 개요 o 3월 1일(현지시간) 오픈SSL은 SSLv2 규격(Protocol)에 대한 긴급 업데이트 발표[1] o SSL 취약점을 이용한 신종 공격 방식인 DROWN, CacheBleed에 대한 보안 업데이트 등 - DROWN(Decrypting RSA with Obsolete and Weakened eNcryption) - CacheBleed: 인텔 프로세서의 Cache-bank 충돌로 인한 정보 노출을 이용한 부채널 공격 □ 영향 받는 사용자 - OpenSSL 1.0.2 사용자: 1.0.2g로 업데이트 - OpenSSL 1.0.1 사용자: 1.0.1s로 업데이트 □ 업데이트 내용 o SSLv2 프로토콜 비활성화 기본 설정 및 SSLv2 EXPORT 암호화 제거 등 □ 취약점 내용 및 권고 사항 o .. 2016. 3. 2.
OpenSSL 취약점 보안업데이트 □ 개요 o OpenSSL에서는 키 교환에서 중간자 공격이 가능한 취약점, SSLv2의 핸드셰이크 전송에서 중간자 공격이 가능한 취약점 등 2개의 취약점을 보완한 보안업데이트를 발표[1] □ 설명 o TLS 프로토콜의 Diffie-Hellman 키 교환에서 소수 값 처리 중 MITM(man-in-the-middle)공격이 가능한 취약점(CVE-2016-0701) o SSLv2을 사용할 경우 조작된 핸드셰이크 전송을 통한 MITM(man-in-the-middle)공격이 가능한 취약점(CVE-2015-3197) □ 해당 시스템 o 영향 받는 제품 및 버전 - OpenSSL 1.0.2 대 버전 - OpenSSL 1.0.1 대 버전 □ 해결 방안 o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이.. 2016. 2. 1.
728x90