공지사항
보안패치
결제방법안내
서비스 이용약관
개인정보취급방침
자주묻는질문
기술가이드
문의하기
제 목 [보안]OpenSSL 다중 취약점 보안업데이트 권고
작성자 하나로호스팅 ( se@hhosting.co.kr ) 등록정보 2014-06-17 15:09:17 조회수 10113
개요

취약한 OpenSSL 버전을 사용하는 서버와 클라이언트 사이에서 공격자가 암호화된 데이터를 복호화할 수 있는 취약점, 서비스 거부 취약점, 임의코드 실행 취약점 등 6개의 취약점을 보완한 보안업데이트를 발표함[1]
설명

조작된 핸드셰이크 전송을 통한 중간자(MITM) 공격으로 전송데이터를 복호화하고 서버/클라이언트 간 전송 데이터의 조작이 가능한 취약점 (CVE-2014-0224)
비정상적인 DTLS 핸드셰이크를 OpenSSL DTLS 클라이언트에 전송하여 서비스 거부 공격이 가능한 취약점 (CVE-2014-0221)
비정상적인 DTLS 프래그먼트를 OpenSSL DTLS 클라이언트 또는 서버에 전송하여 임의코드 실행이 가능한 취약점 (CVE-2014-0195)
do_ssl3_write 함수의 결함으로 인해 임의코드 실행이 가능한 취약점 (CVE-2014-0198)
해당 취약점은 OpenSSL 1.0.0과 1.0.1에서 SSL_MODE_RELEASE_BUFFERS 옵션이 활성화되었을 때 발생 (해당 옵션은 기본적으로 비활성 상태임)
ssl3_read_bytes 함수의 경쟁 상태(race condition)으로 인해 공격자가 세션에 데이터를 주입시키거나 서비스 거부 공격이 가능한 취약점 (CVE-2010-5298)
해당 취약점은 OpenSSL 1.0.0과 1.0.1을 사용하는 멀티쓰레드 어플리케이션에서 SSL_MODE_RELEASE_BUFFERS 옵션이 활성화되었을 때 발생 (해당 옵션은 기본적으로 비활성 상태임)
anonymous ECDH ciphersuites가 활성화된 OpenSSL TLS 클라이언트에 서비스 거부 공격이 발생할 수 있는 취약점 (CVE-2014-3470)
해당 시스템

영향 받는 제품 및 버전
OpenSSL 0.9.8 대 버전
OpenSSL 1.0.0 대 버전
OpenSSL 1.0.1 대 버전
해결 방안

해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트
OpenSSL 0.9.8 대 버전 사용자 : 0.9.8za 버전으로 업데이트
OpenSSL 1.0.0 대 버전 사용자 : 1.0.0m 버전으로 업데이트
OpenSSL 1.0.1 대 버전 사용자 : 1.0.1h 버전으로 업데이트

기타 문의사항


한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

[1] http://www.openssl.org/news/secadv_20140605.txt
총 66 건
번호 제목 등록일 조회수
66 공용방화벽(Fortigate) 장비 교체 작업 안내 2018-12-14 32
65 공용방화벽(Fortigate)에 대한 점검 및 펌웨어 업데이트 PM 작업 안내 2018-12-13 35
64 [서초 IDC] 백본 스위치 정기 점검 2018-05-08 1975
63 [SK IDC]서초1 백본스위치 교체작업(5FE) OFFICE 2018-03-30 2205
62 2018년 새해 복 많이 받으세요. 2018-02-14 2218
61 랜섬웨어 피해 예방 안내 2017-06-14 10614
60 WannaCry(워너크라이) 랜섬웨어 대응 방법 안내 2017-05-15 6177
59 Apache Struts 원격 코드 실행 취약점 업데이트 권고 2017-03-10 11054
58 [공지] 분당 IDC 네트웍 정기 점검 안내. 2017-01-19 7448
57 [공지] 분당 IDC 네트웍 정기 점검 안내. 2016-07-20 10226
56 [공지] 2016년 5월 2차 분당 IDC 네트웍 정기 점검 2016-05-16 11108
55 [작업공지] 분당 IDC 네트워크 스위치 교체 작업 2016-04-28 8509
54 [정기점검] 2015. 7. 23(목) 1차 정기점검 안내(분당 IDC) 2015-07-14 9432
53 [긴급 공지] Bash 취약점 업데이트 2014-10-02 9623
=> [보안]OpenSSL 다중 취약점 보안업데이트 권고 2014-06-17 10113
51 [보안] OpenSSL 취약점 이슈(HeartBleed) 2014-04-17 15288
50 [SK IDC] 국제망 백본라우터 교체 작업 2014-02-04 11880
49 [호스트웨이] 2013년 12월 1차 HOSTWAY 네트워크 정기 점검 공지 2013-12-03 11857
  [1] [2] [3] [4]  
1