'Race Condition'에 해당되는 글 3건

  1. 2016.07.20 Adobe Flash Player 신규 취약점 보안 업데이트
  2. 2015.12.08 OpenSSL 취약점 보안업데이트
  3. 2014.08.11 OpenSSL 취약점 보안업데이트
2016. 7. 20. 09:34

Adobe Flash Player 신규 취약점 보안 업데이트

□ 개요
 o Adobe社는 Flash Player에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1]
 o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고
 
□ 설명
 o Adobe Flash Player의 52개 취약점에 대한 보안 업데이트를 발표[1]
  · 정보 노출로 이어질 수 있는 Race Condition 취약점(CVE-2016-4247)
  · 임의코드 실행으로 이어질 수 있는 Type confusion 취약점(CVE-2016-4223, CVE-2016-4224, CVE-2016-4225)
  · 임의코드 실행으로 이어질 수 있는 Use-Ater-Free 취약점(CVE-2016-4173, CVE-2016-4174, CVE-2016-4222,
    CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231,
    CVE-2016-4248)
  · 임의코드 실행으로 이어질 수 있는 힙 오버플로우 취약점(CVE-2016-4249)
  · 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2016-4172, CVE-2016-4175, CVE-2016-4179,
    CVE-2016-4180, CVE-2016-4181, CVE-2016-4182, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185,
    CVE-2016-4186, CVE-2016-4187, CVE-2016-4188, CVE-2016-4189, CVE-2016-4190, CVE-2016-4217,
    CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221, CVE-2016-4233, CVE-2016-4234,
    CVE-2016-4235, CVE-2016-4236, CVE-2016-4237, CVE-2016-4238, CVE-2016-4239, CVE-2016-4240,
    CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246)
  · 메모리 누수 취약점(CVE-2016-4232)
  · 임의코드 실행으로 이어질 수 있는 스택 손상 취약점(CVE-2016-4176, CVE-2016-4177)
  · 정보 노출로 이어질 수 있는 보안 우회 취약점(CVE-2016-4178)
 
□ 영향 받는 소프트웨어
 o Adobe Flash Player

소프트웨어 명동작환경영향 받는 버전
Adobe Flash Player Desktop Runtime윈도우즈, 맥22.0.0.192 및 이전버전
Adobe Flash Player Extended Support Release윈도우즈, 맥18.0.0.360 및 이전버전
Adobe Flash Player for Google Chrome윈도우즈, 맥, Linux, ChromeOS22.0.0.192 및 이전버전
Adobe Flash Player for Microsoft Edge and Internet Explorer 11Windows 1022.0.0.192 및 이전버전
Adobe Flash Player for LinuxLinux11.2.202.626 및 이전버전


□ 해결 방안
 o Adobe Flash Player 사용자
  - 윈도우즈, 맥 환경의 Adobe Flash Player Desktop Runtime 사용자는 22.0.0.209 버전으로 업데이트 적용
  - Adobe Flash Player Extended Support Release 사용자는 18.0.0.366 버전으로 업데이트 적용
  - 리눅스 환경의 Adobe Flash Player 사용자는 11.2.202.632 버전으로 업데이트 적용
  - Windows 10 및 Windows 8.1에서 구글 크롬, Microsoft Edge, 인터넷 익스플로러에 Adobe Flash Player를 설치한 사용자는
     자동으로 최신 업데이트가 적용
     · 그 외 사용자는 Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전 설치
 
□ 용어 정리
 o Use-After-Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고 이를 계속 참조(사용)
    하여 발생하는 취약점
 
□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
[참고사이트]
[1] https://helpx.adobe.com/security/products/flash-player/apsb16-25.html


Trackback 0 Comment 0
2015. 12. 8. 17:52

OpenSSL 취약점 보안업데이트

□ 개요

   o OpenSSL에서는 서비스 거부 공격 취약점, Race condition 취약점 등 5개의 취약점을 보완한 보안업데이트를 발표[1]

□ 설명
   o NB_mod_exp 함수에서 값을 제곱 처리 할 때 발생하는 취약점 (CVE-2015-3193)
   o 인증서 검증시 PSS 파라미터 부재로 인한 서비스 거부 취약점 (CVE-2015-3194)
   o X509_ATTRIBUTE 구조체에서 발생하는 OpenSSL 메모리 누수 취약점 (CVE-2015-3195)
   o PSK Identify hint 처리 중 발생하는 Race condition 취약점 (CVE-2015-3196)
   o ServerKyExchange의 값을 처리 중에 발생하는 서비스 거부 공격 취약점 (CVE-2015-1794)

□ 해당 시스템
   o 영향 받는 제품 및 버전
    - OpenSSL 1.0.2
    - OpenSSL 1.0.1
    - OpenSSL 1.0.0
    - OpenSSL 0.9.8 

□ 해결 방안
   o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]
    - OpenSSL 1.0.2 사용자 : 1.0.2e로 업데이트
    - OpenSSL 1.0.1 사용자 : 1.0.1q로 업데이트
    - OpenSSL 1.0.0 사용자 : 1.0.0t로 업데이트
    - OpenSSL 0.9.8 사용자 : 0.9.8zh로 업데이트

□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://www.openssl.org/news/secadv/20151203.txt
[2] https://www.openssl.org/



Trackback 0 Comment 0
2014. 8. 11. 18:41

OpenSSL 취약점 보안업데이트



개요

  • OpenSSL에서 발생한 메모리 정보 노출 취약점, 서비스 거부 취약점, 버퍼 오버런 취약점 등 9개의 취약점을 보완한 보안업데이트를 발표함[1]

설명

  • OpenSSL 출력 함수에서 발생하는 메모리 정보 노출 취약점 (CVE-2014-3508)
  • TLS-SRP 암호화 모듈 메모리 충돌 취약점 (CVE-2014-5139)
  • SSL 서버 헬로우 메시지 Race condition 취약점 (CVE-2014-3509)
  • DTLS 메시지에서 발생하는 Double Free 취약점 (CVE-2014-3505)
  • DTLS 핸드쉐이크 메시지를 처리하는 중 발생하는 메모리 고갈 취약점 (CVE-2014-3506)
  • DTLS 메시지를 처리하는 중 발생하는 서비스 거부 취약점 (CVE-2014-3507)
  • DTLS Anonymous EC(DH) 암호화 모듈에서 발생하는 서비스 거부 취약점 (CVE-2014-3510)
  • TLS 프로토콜 버전 다운그레이드 취약점 (CVE-2014-3511)
  • SRP 버퍼 오버런 취약점 (CVE-2014-3512)

 

해당 시스템

  • 영향 받는 제품 및 버전
    • OpenSSL 0.9.8 대 버전
    • OpenSSL 1.0.0 대 버전
    • OpenSSL 1.0.1 대 버전

해결 방안

  • 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]
    • OpenSSL 0.9.8 사용자 : 0.9.8zb로 업데이트
    • OpenSSL 1.0.0 사용자 : 1.0.0n로 업데이트
    • OpenSSL 1.0.1 사용자 : 1.0.1i로 업데이트

용어 설명

  • SRP(Secure Remote Password) : 안전한 통신을 위한 패스워드 기반 인증 방식
  • Race condition 취약점 : 여러개의 프로세스가 한정된 자원을 차지하기 위해 경쟁 현상을 이용하는 취약점
  • DTLS : 데이터 그램 전송 계층을 보호하기 위한 UDP 기반 TLS 프로토콜
  • Double Free 취약점 : 특정 힙 영역을 두 번 해제시켜 메모리 포인터를 조작할 수 있는 취약점
  • ECDH : 타원 곡선 암호화 알고리즘


기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

 

[참고사이트]
[1] https://www.openssl.org/news/secadv_20140806.txt
[2] http://www.openssl.org


Trackback 0 Comment 0