쉽게 시작하는 비즈니스 토탈 IT 서비스, 아이티이지

NEWS

OpenSSL 다중 취약점 보안업데이트 권고

2016. 09. 26

□ 개요
o OpenSSL에서 발생한 서비스 거부 공격 취약점, Out-of-bounds 읽기/쓰기 취약점 등 총 14개의 취약점을 보완한
보안 업데이트를 발표함[1]

□ 설명
o 클라이언트에서 많은 양의 OCSP 요청을 보낼 경우 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6304)
o 특수하게 조작 된 레코드를 보낼 경우 SSL_peek의 결함으로 인해 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6305)
o 3DES 대칭암호의 암호스위트를 지원하는 SSL/TLS 프로토콜에서 SWEET32 공격이 가능한 취약점(CVE-2016-2183)
o MDC2_Update() 함수에서 오버플로우가 발생 해 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-6303)
o tls_decrypt_ticket 함수에서 티켓 길이 검증이 미흡하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6302)
o BN_bn2dec() 함수에서 리턴 값에 대한 체크를 하지 않아 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-2182)
o TS_OBJ_print_bio() 함수에서 Out-of-bounds 읽기가 발생할 수 있는 취약점(CVE-2016-2180)
o 포인터 연산에서 발생하는 문제로 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2177)
o DSA 구현상에 결함으로 공격자가 DSA 개인키를 추출할 수 있는 취약점(CVE-2016-2178)
o 악의적인 사용자가 많은 DTLS 세션을 유지하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2179)
o DTLS Anti-Replay 기능을 처리하는 과정에서 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2181)
o 메시지 길이 유효성 검사가 미흡하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6306)
o 특정 길이 이상의 TLS 메시지를 처리하는 과정에서 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6307)
o 특정 길이 이상의 DTLS 메시지를 처리하는 과정에서 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6308)

□ 해당 시스템
o 영향 받는 제품 및 버전
- OpenSSL 1.1.0
- OpenSSL 1.0.2
- OpenSSL 1.0.1

□ 해결 방안
o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]
- OpenSSL 1.1.0 사용자 : 1.1.0a로 업데이트
- OpenSSL 1.0.2 사용자 : 1.0.2i로 업데이트
- OpenSSL 1.0.1 사용자 : 1.0.2u로 업데이트

□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://www.openssl.org/news/secadv/20160922.txt
[2] https://www.openssl.org/source/

이전 글	Cisco 제품군 다중 취약점 보안 업데이트 권고 2016. 09. 26
다음 글	OpenSSL 신규 취약점 보안 업데이트 권고 2016. 09. 30

무엇이든 물어보세요

아이티이지 전문가가 궁금하신 점을 쉽고 빠르게 해결해 드리겠습니다.

고객센터 1600-8324

내선번호

내선 1 서버 / IDC
내선 2 클라우드
내선 3 관리대행 / ITO
내선 4 도메인
내선 5 보안 서비스 문의
내선 6 문자 / 카카오비즈메시지
내선 7 Microsoft365
내선 8 마케팅/서비스 제휴
내선 9 홈페이지 제작
내선 0 기타서비스
내선 11 긴급 장애

휴일 긴급 연락처010-3124-8320

평일 9:00~18:00 (IDC 긴급 장애처리 24시간 운영)

FAX 02-6264-8321

문의하기