SSLv23 OpenSSL 긴급 보안 업데이트 □ 개요 o 3월 1일(현지시간) 오픈SSL은 SSLv2 규격(Protocol)에 대한 긴급 업데이트 발표[1] o SSL 취약점을 이용한 신종 공격 방식인 DROWN, CacheBleed에 대한 보안 업데이트 등 - DROWN(Decrypting RSA with Obsolete and Weakened eNcryption) - CacheBleed: 인텔 프로세서의 Cache-bank 충돌로 인한 정보 노출을 이용한 부채널 공격 □ 영향 받는 사용자 - OpenSSL 1.0.2 사용자: 1.0.2g로 업데이트 - OpenSSL 1.0.1 사용자: 1.0.1s로 업데이트 □ 업데이트 내용 o SSLv2 프로토콜 비활성화 기본 설정 및 SSLv2 EXPORT 암호화 제거 등 □ 취약점 내용 및 권고 사항 o .. 2016. 3. 2. OpenSSL 취약점 보안업데이트 □ 개요 o OpenSSL에서는 키 교환에서 중간자 공격이 가능한 취약점, SSLv2의 핸드셰이크 전송에서 중간자 공격이 가능한 취약점 등 2개의 취약점을 보완한 보안업데이트를 발표[1] □ 설명 o TLS 프로토콜의 Diffie-Hellman 키 교환에서 소수 값 처리 중 MITM(man-in-the-middle)공격이 가능한 취약점(CVE-2016-0701) o SSLv2을 사용할 경우 조작된 핸드셰이크 전송을 통한 MITM(man-in-the-middle)공격이 가능한 취약점(CVE-2015-3197) □ 해당 시스템 o 영향 받는 제품 및 버전 - OpenSSL 1.0.2 대 버전 - OpenSSL 1.0.1 대 버전 □ 해결 방안 o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이.. 2016. 2. 1. ‘푸들’ 취약점으로 본 웹 암호화 보안 위험성 TLS 암호화기술, SSL과 하위 호환돼 푸들 공격 위험성 상존 SSL 3.0 기술을 서버·브라우저에서 비활성화, 하위 호환 차단해야 http://www.boannews.com/media/view.asp?idx=43838&kind=4 ▲ ProxySGs의 기본 설정은 클라이언트에서 SSLv3 커넥션을 차단하도록 되어 있으며, SSL 구성 메뉴에서 관련 정책을 설정할 수 있다. 구글 소속 연구원들이 SSL 3.0 웹 암호화 기술의 취약점을 발견해 ‘푸들’(Padding Oracle On Downloaded Legacy Encryption, POODLE)이라 이름 짓고 보안관계자들에게 주의를 당부했다. SSL 3.0은 만들어진 지 18년이 다 된 기술로, 대부분의 브라우저와 웹사이트들이 사용하고 있다. 그러.. 2014. 11. 3. 이전 1 다음 728x90