컨텐츠 바로가기


 

  • TEL031-567-2358
  • TIME월-금 09:30 ~ 17:00
  • 토-일 14:00 ~ 20:00
  • ADD 경기도 구리시 아천동
  • 302-20번지 물류센터

알뜰살뜰 쿠폰존


현재 위치

  1. HOME
  2. 커뮤니티
  3. 뉴스/이벤트

뉴스/이벤트

뉴스와 이벤트입니다.

게시판 상세
제목 OpenSSL 'Drown' 보안 업데이트 조치 안내
작성자 7TERA.COM (ip:)
  • 작성일 2016-03-04 18:29:24
  • 추천 추천하기
  • 조회수 1012
  • 평점 0점

 

제 목

 [긴급] OpenSSL 'Drown' 보안 업데이트 조치 안내

취약점
내용

 1) 3.1 OpenSSL의 암호화된 통신을 중간자 공격(MITM)을 이용하여 복호화할 수 있는
    'Drown'
취약점 등 8개 취약점에 대한 긴급 업데이트를 발표함

 2)
공격자는 SSLv2의 패딩 오라클 공격 취약점을 통해 서버와 클라이언트 간 TLS 암호화
   
통신을 무력화하고 통신내용을 감청할 수 있음

 
※ 패딩 오라클 공격 : 블록(Block) 단위 연산을 사용하는 암호의 암호화 시에 발생하는
                           
패딩(Padding) 응답 값으로 평문을 복원하는 공격

 3)
취약한 버전을 사용 중인 시스템 관리자는
정보유출 위험이 존재하므로 반드시
   
최신 버전으로 보안 업데이트를 실시하시기 바랍니다.

설명

 - CVE-2016-0800 : (Drown)
   SSLv2
를 이용한 TLS에 대한 프로토콜 간 공격 취약점

 - CVE-2016-0705 :
   DFB(Double-Free Bug)
를 이용한 힙 오버플로우 취약점

 - CVE-2016-0798 :
   SRP
데이터베이스에서 발생하는 메모리 손상 취약점

 - CVE-2016-0797 :
  
(Null) 포인터 역참조로 인한 힙 손상 취약점

 - CVE-2016-0799 :
   BIO_*printf
함수에서 발생하는 고정 메모리 이슈

 - CVE-2016-0702 : (CacheBleed)
  
특정 Intel 기반 프로세서에서 발생하는 Cache-Bank 충돌로 인해 RSA 키를 복원할 수
  
있는 취약점

 - CVE-2016-0703 :
  
분할 정복 알고리즘(Divide-and-Conquer)을 사용하여 세션 키를 복원할 수 있는 취약점

 - CVE-2016-0704 :
   Bleichenbacher
공격에 대해 적절한 보호를 하지 못 하는 이슈

영향받는
소프트
웨어

 1) OpenSSL을 직접 사용하는 경우
  - OpenSSL 1.0.2
버전
  - OpenSSL 1.0.1
버전

 2)
패키지를 사용하는 경우
  - Microsoft IIS
  - Apache HTTP Server
  - Nginx
  - Postfix
  - Debian Linux
  - Redhat Linux
  - Ubuntu Linux
  - Suse Linux
  - Amazon AWS

 
'Drown' 공격은 웹서버, SMTP, IMAP/POP SSL/TLS를 지원하는 모든 패키지 및
    
솔루션이 영향을 받으므로 위 언급되지 않은 제품을 사용하는 경우,
   
벤더 및 유지보수 업체와 연락하여 업데이트 및 조치 방안을 확인하시기 바랍니다.

관리자
조치사항

 1) OpenSSL을 직접 사용하는 경우
  -
다음 보안 가이드를 참고하여 버전별 최신 버전으로 업데이트 적용
   
보안 가이드 :
https://www.openssl.org/news/secadv/20160301.txt

 2)
패키지를 사용하는 경우
  - Microsoft IIS
   
7.0 이상 : SSLv2 SSLv3 비활성화
   
7.0 미만 : 패치 지원 종료로 패치가 지원되는 상위 버전으로 업그레이드

  - Apache HTTP Server (
패치 미정)
   
httpd 2.4.x : 영향받지 않음 (기본설정 : SSLv2 비활성화)
   
httpd 2.2.x : 다음 가이드를 참고하여 SSLv2 SSLv3 비활성화
                     
https://drownattack.com/apache.html

  - Nginx (
패치 미정)
   
0.7.64, 0.8.18 이하 : 다음 가이드를 참고하여 SSLv2 SSLv3 비활성화
                              
https://drownattack.com/nginx.html

  - Postfix
   
Postfix 2.9.14, 2.10.8, 2.11.6, 3.0.2 이상 : 영향받지 않음 (기본설정 : SSLv2 비활성화)
   
※ 보안 강화를 위해 최신 버전으로 업데이트 또는 다음 가이드를 참고하여 설정 권고
      
https://drownattack.com/postfix.html
  
  - Debian Linux
   
∙ 다음 보안 가이드를 참고하여 취약 버전에 대한 업데이트 진행
     
https://security-tracker.debian.org/tracker/CVE-2016-0800

  - Redhat Linux
   
∙ 다음 보안 가이드를 참고하여 취약 버전에 대한 업데이트 진행
     
https://access.redhat.com/security/vulnerabilities/drown

  - Ubuntu Linux
   
∙ 다음 보안 가이드를 참고하여 취약 버전에 대한 업데이트 진행
     
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-0800.html

  - Suse Linux
   
∙ 다음 보안 가이드를 참고하여 취약 버전에 대한 업데이트 진행
     
https://www.suse.com/support/update/announcement/2016/suse-su-20160621-1.html

  - Amazon AWS
   
∙ 다음 보안 가이드를 참고하여 취약 버전에 대한 업데이트 진행
     
https://aws.amazon.com/ko/security/security-bulletins/cve-2016-0800-advisory/

보안부서
실행
가이드

 1) 실행 가이드
   
各社 보안담당자는 다음의 권고사항이 즉시 이행될 수 있도록 해주시기 바랍니다.

  -
서버 관리자
    
관리자 조치사항을 참고하여 SSL/TLS를 사용하는 서버 및 솔루션은
    
취약점 테스트를 실시한 후,
    
벤더사 및 유지보수 업체에 업데이트 및 조치 방안을 확인하여 적용 바랍니다.

   
테스트 방법 :
      1.
다음 사이트 접속하여 대상 URL 입력 후 결과 확인
         https://drownattack.com/#check

      2.
다음 openssl 점검코드를 이용해 결과 확인
         openssl s_client -connect localhost:[
서비스 포트] -ssl2
        
의 결과가 "ssl negotiation failure" 이면 취약하지 않음

        
) > openssl s_client -connect localhost:80 -ssl2
              CONNECTED(00000003)
              139974706300568:error:1407F0E5:SSL routines:ssl2_write:
ssl handshake
             
failure:s2_pkt.c:409:

상세내용

 [1] https://www.openssl.org/news/secadv/20160301.txt
 [2] http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24083
 [3]
https://drownattack.com/

기타
문의사항

 




첨부파일
비밀번호 * 삭제하려면 비밀번호를 입력하세요.
목록 삭제 수정 답변
댓글 수정

비밀번호

수정 취소

/ byte