Home > 전체기사
OpenSSL 보안 취약점 14개 발견...업데이트 필수
  |  입력 : 2016-09-24 19:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
OpenSSL 다중 취약점 보안업데이트 권고

[보안뉴스 민세아] 네트워크를 통한 암호화 데이터 통신에 사용되는 프로토콜인 OpenSSL에서 취약점이 발생했다. 문제가 된 취약점은 서비스 거부 공격 취약점, Out-of-bounds 읽기/쓰기 취약점 등 총 14개의 취약점이다.


14개의 OpenSSL 취약점에 대한 보안업데이트는 이미 발표됐으며, 해당 취약점은 다음과 같다.

△클라이언트에서 많은 양의 OCSP 요청을 보낼 경우 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6304)
△특수하게 조작 된 레코드를 보낼 경우 SSL_peek의 결함으로 인해 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6305)
△3DES 대칭암호의 암호스위트를 지원하는 SSL/TLS 프로토콜에서 SWEET32 공격이 가능한 취약점(CVE-2016-2183)
△MDC2_Update() 함수에서 오버플로우가 발생 해 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-6303)
△tls_decrypt_ticket 함수에서 티켓 길이 검증이 미흡하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6302)
△BN_bn2dec() 함수에서 리턴 값에 대한 체크를 하지 않아 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-2182)
△TS_OBJ_print_bio() 함수에서 Out-of-bounds 읽기가 발생할 수 있는 취약점(CVE-2016-2180)
△포인터 연산에서 발생하는 문제로 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2177)
△DSA 구현상에 결함으로 공격자가 DSA 개인키를 추출할 수 있는 취약점(CVE-2016-2178)
△악의적인 사용자가 많은 DTLS 세션을 유지하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2179)
△DTLS Anti-Replay 기능을 처리하는 과정에서 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2181)
△메시지 길이 유효성 검사가 미흡하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6306)
△특정 길이 이상의 TLS 메시지를 처리하는 과정에서 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6307)
△특정 길이 이상의 DTLS 메시지를 처리하는 과정에서 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6308)

해당 취약점에 영향 받는 제품 및 버전은 OpenSSL 1.1.0, 1.0.2, 1.0.1이며, 각각 1.1.0a, 1.0.2i, 1.0.2u로 업데이트해 해당 취약점을 해결할 수 있다.

이와 관련한 자세한 사항은 아래의 참고사이트를 확인하거나 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)로 문의하면 된다.

[참고사이트]
[1]
https://www.openssl.org/news/secadv/20160922.txt
[2] https://www.openssl.org/source/
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)