poodle3 ‘푸들’ 취약점으로 본 웹 암호화 보안 위험성 TLS 암호화기술, SSL과 하위 호환돼 푸들 공격 위험성 상존 SSL 3.0 기술을 서버·브라우저에서 비활성화, 하위 호환 차단해야 http://www.boannews.com/media/view.asp?idx=43838&kind=4 ▲ ProxySGs의 기본 설정은 클라이언트에서 SSLv3 커넥션을 차단하도록 되어 있으며, SSL 구성 메뉴에서 관련 정책을 설정할 수 있다. 구글 소속 연구원들이 SSL 3.0 웹 암호화 기술의 취약점을 발견해 ‘푸들’(Padding Oracle On Downloaded Legacy Encryption, POODLE)이라 이름 짓고 보안관계자들에게 주의를 당부했다. SSL 3.0은 만들어진 지 18년이 다 된 기술로, 대부분의 브라우저와 웹사이트들이 사용하고 있다. 그러.. 2014. 11. 3. SSL 3.0 프로토콜 취약점 주의 개요SSL 3.0의 CBC 모드를 사용할 경우 중간자 공격(MITM)을 통해 암호화된 데이터를 복호화할 수 있는 취약점(CVE-2014-3566)이 발견됨 [1,2]SSL 3.0은 1996년도에 공개된 버전으로 일부에서 하위 호환성을 위해 제공하고 있으나 보안이 취약하여 사용하지 않는 것을 권고 [1,2] 해당 시스템영향 받는 제품 및 버전SSL 3.0 프로토콜을 사용하는 어플리케이션 및 시스템 해결 방안해당 취약점에 영향 받는 버전 사용자SSL 3.0을 사용하는 어플리케이션 및 시스템의 설정에서 SSL 3.0 지원 비활성화SSL 3.0을 지원해야하는 환경의 경우 TLS_FALLBACK_SCSV 프로토콜 확장기능을 사용하여 공격 예방(POODLE 공격) 용어 설명SSL(Secure Socket Layer.. 2014. 10. 22. OpenSSL 다중 취약점 보안업데이트 개요OpenSSL에서 발생한 메모리 고갈 취약점, 푸들(Poodle, Padding Oracle On Downloaded Legacy Encryption) 취약점 등 총 4개의 취약점을 보완한 보안업데이트를 발표함[1] 설명DTLS SRTP 핸드쉐이크 메시지를 처리하는 중 발생하는 메모리 고갈 취약점 (CVE-2014-3513)SSL/TLS/DTLS 서버에서 session ticket 값을 받을 때 발생하는 메모리 고갈 취약점 (CVE-2014-3567)SSL3.0에서 다운 그레이드를 통해 MITM(man-in-the-middle)공격을 가능하게 하는 푸들(Poodle, Padding Oracle On Downloaded Legacy Encryption) 취약점 (CVE-2014-3566)OpenSSL .. 2014. 10. 20. 이전 1 다음
