Home > 전체기사
오픈SSL에서 고위험군에 속하는 디도스 취약점 발견돼
  |  입력 : 2020-04-22 10:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2020년 오픈SSL에서 발견된 첫 고위험군 취약점...CVE-2020-1967
GCC 정적 코드 분석기 사용해 처음 발견돼...1.1.1g 버전 사용하면 안전


[보안뉴스 문가용 기자] 오픈SSL(OpenSSL)의 업데이트가 발표됐다. 이를 통해 고위험군에 속하는 취약점 한 개가 패치됐다. 익스플로잇 될 경우 디도스 공격을 가능케 해주는 취약점이었다.

[이미지 = iclickart]


오픈SSL을 관리하는 ‘오픈SSL 프로젝트(OpenSSL Project)’ 측에서는 문제의 취약점을 CVE-2020-1967로 지정했고, SSL_check_chain 함수에 있는 ‘세그멘테이션 오류(segmentation fault)’라고 밝혔다.

오픈SSL 프로젝트가 발표한 권고문(https://www.openssl.org/news/secadv/20200421.txt)에 따르면 “TLS 1.3 핸드셰이크가 발생하는 와중이나 이후에 SSL_check_chain() 함수를 호출하는 서버나 클라이언트 애플리케이션들은 NULL 포인터 역참조로 인해 작동이 중단될 수 있다”고 하며, 이는 “signature_algoriths_cert라는 TLS 엑스텐션을 잘못 처리하기 때문에 발생하는 일”이라고 한다.

또한 “부적절하거나 인식 불가능한 시그니처 알고리즘이 피어 네트워크로부터 전송될 경우 작동 중단 현상이 발동한다”며 “피어 네트워크에 연결된 악성 행위자가 이 부분을 악용함으로써 사실상의 디도스 공격을 유발하는 게 가능하다”고 설명했다.

취약점이 발견된 오픈SSL 버전은 1.1.1d, 1.1.1e, 1.1.1f인 것으로 알려져 있다. 패치가 적용되어 문제가 모두 해결된 버전은 1.1.1g라고 한다. 더 이상 업데이트가 되지 않는 버전인 1.0.2와 1.1.0의 경우, 다행히 위 오류가 발견되지 않고 있다.

취약점을 제일 먼저 발견한 건 보안 전문가 번드 에들링어(Bernd Edlinger)라고 한다. 그는 지난 4월 7일 오픈SSL 프로젝트 측에 이를 알렸다. 에들링어는 최근 도입된 GNU 컴파일러 컬렉션(GNU Compiler Collection) 정적 코드 분석기를 통해 취약점을 발견했다고 한다.

GNU 컴파일러 컬렉션에 대한 상세 내용은 여기(https://www.phoronix.com/scan.php?page=news_item&px=GCC-10-Static-Analyzer)서 열람이 가능하다.

이번에 진행된 패치는 2020년 들어 오픈SSL에서 처음으로 진행한 것이다.

3줄 요약
1. 오픈SSL에서 디도스 가능하게 해주는 취약점 발견됨.
2. SSL_check_chain라는 함수에서 발견된 세그멘테이션 오류임.
3. 사용자들은 1.1.1g 버전으로 업데이트 해야 취약점에서 안전해짐.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)