본문 바로가기

OpenSSL23

OpenSSL 취약점 보안업데이트 개요OpenSSL에서는 인증서 검증을 우회할 수 있는 취약점을 보완한 보안업데이트를 발표[1] 설명신뢰할 수 없는 인증서를 유효한 인증서로 사용할 수 있는 취약점(CVE-2015-1793) 해당 시스템영향 받는 제품 및 버전 - OpenSSL 1.0.2b - OpenSSL 1.0.2c - OpenSSL 1.0.1n - OpenSSL 1.0.1o 해결 방안해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2] - OpenSSL 1.0.2b/1.0.2c 사용자 : 1.0.2d로 업데이트 - OpenSSL 1.0.1n/1.0.1o 사용자 : 1.0.1p로 업데이트 기타 문의사항한국인터넷진흥원 인터넷침해대응센터 : 국번없이 118 [참고사이트]https://www.openssl.org/news/s.. 2015. 7. 10.
OpenSSL 다중 취약점 보안업데이트 개요취약한 OpenSSL 버전을 사용하는 서버와 클라이언트 사이에서 공격자가 암호화된 데이터를 복호화할 수 있는 취약점, 서비스 거부 취약점 등 7개의 취약점을 보완한 보안업데이트를 발표[1] 설명TLS 프로토콜에서 Diffie-Hellman 키 교환 처리 중 512비트로 다운그레이드 시키는 취약점(CVE-2015-4000)ECParameters 구조 처리 중 발생하는 서비스 거부 취약점 (CVE-2015-1788)X509_cmp_time 함수에서 발생하는 서비스 거부 공격 취약점 (CVE-2015-1789)ASN.1 인코딩 된 PKCS#7 데이터 처리 중 발생하는 Out-of-bounds 읽기 가능 취약점(CVE-2015-1790)알 수 없는 해쉬 함수를 사용하는 암호화 메시지 처리 중 발생하는 무한 .. 2015. 6. 16.
OpenSSL 다중 취약점 보안업데이트 개요취약한 OpenSSL 버전을 사용하는 서버와 클라이언트 사이에서 공격자가 암호화된 데이터를 복호화할 수 있는 취약점, 서비스 거부 취약점 등 14개의 취약점을 보완한 보안업데이트를 발표[1] 설명NULL 포인터 역참조에 의한 서비스 거부 공격에 악용될 수 있는 취약점 (CVE-2015-0291)OpenSSL RSA 암호화 키를 512비트로 다운그레이드 시키는 취약점(FREAK, CVE-2015-0204)멀티 블록 포인터 손상에 의한 서비스 거부 공격에 악용될 수 있는 취약점(CVE-2015-0290)DTLSv1_listen 함수에서 잘못된 메모리 접근으로 인해 서비스 거부 공격에 악용될 수 있는 취약점 (CVE-2015-0207)ASN1_TYPE_cmp 함수에서 잘못된 메모리 접근으로 인해 서비스 거.. 2015. 3. 23.
‘FREAK’ SSL 취약점 주의 패치 완료 전까지 크롬, 파이어폭스 등 브라우저 사용해야http://www.boannews.com/media/view.asp?idx=45546 얼마 전 우리나라를 떠들썩하게 만들었던 하트블리드(Open SSL) 취약점의 여운이 채 가시기도 전에 새로운 SSL 취약점이 발견되어 사용자들의 보안 우려가 높아지고 있다. 프랑스 국립 연구소(INRIA) 및 MS사에서는 SSL을 통해 강제로 취약한 RSA로 다운 그레이드 시킬 수 있는 취약점(CVE-2015-0204)을 발견했다. 해당 취약점은 OpenSSL s3_clnt.c의 ssl3_get_key_exchange 함수에서 발생하는 취약점으로, 공격자가 중간자 공격(MITM Attack)을 통해 512비트 RSA로 다운 그레이드시켜 정보를 유출시킬 수 있는 취.. 2015. 3. 4.
OpenSSL 다중 취약점 보안업데이트 개요OpenSSL에서 발생한 메모리 고갈 취약점, 푸들(Poodle, Padding Oracle On Downloaded Legacy Encryption) 취약점 등 총 4개의 취약점을 보완한 보안업데이트를 발표함[1] 설명DTLS SRTP 핸드쉐이크 메시지를 처리하는 중 발생하는 메모리 고갈 취약점 (CVE-2014-3513)SSL/TLS/DTLS 서버에서 session ticket 값을 받을 때 발생하는 메모리 고갈 취약점 (CVE-2014-3567)SSL3.0에서 다운 그레이드를 통해 MITM(man-in-the-middle)공격을 가능하게 하는 푸들(Poodle, Padding Oracle On Downloaded Legacy Encryption) 취약점 (CVE-2014-3566)OpenSSL .. 2014. 10. 20.
728x90

티스토리툴바