Home > 전체기사
OpenSSL 취약점 보안업데이트 필수
  |  입력 : 2014-08-09 10:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
메모리 정보 노출 취약점, 서비스 거부 취약점 등 9개 패치


[보안뉴스 김지언] 통신 구간 암호화를 위해 많이 사용되는 OpenSSL에서 취약점이 발견돼 취약한 버전 사용자들의 빠른 패치가 요구된다.



이번에 발견된 취약점은 메모리 정보 노출 취약점, 서비스 거부 취약점, 버퍼 오버런 취약점 등 9개로, 그 내용은 다음과 같다.


△OpenSSL 출력 함수에서 발생하는 메모리 정보 노출 취약점 (CVE-2014-3508)

△TLS-SRP 암호화 모듈 메모리 충돌 취약점 (CVE-2014-5139)

△SSL 서버 헬로우 메시지 Race condition 취약점 (CVE-2014-3509)

△DTLS 메시지에서 발생하는 Double Free 취약점 (CVE-2014-3505)

△DTLS 핸드쉐이크 메시지를 처리하는 중 발생하는 메모리 고갈 취약점 (CVE-2014-3506)

△DTLS 메시지를 처리하는 중 발생하는 서비스 거부 취약점 (CVE-2014-3507)

△DTLS Anonymous EC(DH) 암호화 모듈에서 발생하는 서비스 거부 취약점 (CVE-2014-3510)

△TLS 프로토콜 버전 다운그레이드 취약점 (CVE-2014-3511)

△SRP 버퍼 오버런 취약점 (CVE-2014-3512)


영향을 받는 OpenSSL 버전으로는 △OpenSSL 0.9.8 대 버전 △OpenSSL 1.0.0 대 버전 △OpenSSL 1.0.1 대 버전이 있으며, 각각 OpenSSL 0.9.8zb, OpenSSL 1.0.0n, OpenSSL 1.0.1i로 업데이트해야 한다.


이외 기타 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터(국번 없이 118)로 문의하면 된다.


[참고사이트]

https://www.openssl.org/news/secadv_20140806.txt


[용어 정리]

SRP(Secure Remote Password) : 안전한 통신을 위한 패스워드 기반 인증 방식

Race condition 취약점 : 여러개의 프로세스가 한정된 자원을 차지하기 위해 경쟁 현상을 이용하는 취약점

DTLS : 데이터 그램 전송 계층을 보호하기 위한 UDP 기반 TLS 프로토콜

Double Free 취약점 : 특정 힙 영역을 두 번 해제시켜 메모리 포인터를 조작할 수 있는 취약점

ECDH : 타원 곡선 암호화 알고리즘

[김지언 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)