|
|
제 목
|
[긴급] OpenSSL 'Drown' 보안 업데이트 조치 안내
|
취약점
내용
|
1) 3.1日 OpenSSL의 암호화된 통신을 중간자 공격(MITM)을
이용하여 복호화할 수 있는
'Drown' 취약점 등 8개 취약점에 대한 긴급 업데이트를 발표함
2) 공격자는 SSLv2의
패딩 오라클 공격 취약점을 통해 서버와 클라이언트 간 TLS 암호화
통신을 무력화하고 통신내용을 감청할 수 있음
※ 패딩 오라클 공격 : 블록(Block) 단위 연산을 사용하는 암호의 암호화 시에 발생하는
패딩(Padding) 응답 값으로 평문을 복원하는 공격
3) 취약한 버전을 사용 중인 시스템 관리자는 정보유출 위험이 존재하므로 반드시
최신 버전으로 보안 업데이트를 실시하시기 바랍니다.
|
설명
|
- CVE-2016-0800 : (Drown)
SSLv2를
이용한 TLS에 대한 프로토콜 간 공격 취약점
- CVE-2016-0705 :
DFB(Double-Free Bug)를 이용한 힙 오버플로우
취약점
- CVE-2016-0798 :
SRP 데이터베이스에서 발생하는 메모리 손상 취약점
- CVE-2016-0797 :
널(Null) 포인터
역참조로 인한 힙 손상 취약점
- CVE-2016-0799 :
BIO_*printf 함수에서 발생하는 고정 메모리 이슈
- CVE-2016-0702 : (CacheBleed)
특정 Intel 기반
프로세서에서 발생하는 Cache-Bank 충돌로 인해 RSA 키를
복원할 수
있는 취약점
- CVE-2016-0703 :
분할 정복 알고리즘(Divide-and-Conquer)을
사용하여 세션 키를 복원할 수 있는 취약점
- CVE-2016-0704 :
Bleichenbacher 공격에 대해 적절한 보호를
하지 못 하는 이슈
|
영향받는
소프트
웨어
|
1) OpenSSL을 직접 사용하는 경우
- OpenSSL 1.0.2 버전
- OpenSSL 1.0.1 버전
2) 패키지를 사용하는 경우
- Microsoft IIS
- Apache HTTP Server
- Nginx
- Postfix
- Debian Linux
- Redhat Linux
- Ubuntu Linux
- Suse Linux
- Amazon AWS
※ 'Drown' 공격은
웹서버, SMTP, IMAP/POP 등 SSL/TLS를
지원하는 모든 패키지 및
솔루션이 영향을 받으므로 위 언급되지 않은 제품을 사용하는 경우,
벤더 및 유지보수 업체와 연락하여 업데이트 및 조치
방안을 확인하시기 바랍니다.
|
관리자
조치사항
|
1) OpenSSL을 직접 사용하는 경우
- 다음 보안 가이드를 참고하여 버전별 최신 버전으로 업데이트
적용
보안 가이드 : https://www.openssl.org/news/secadv/20160301.txt
2) 패키지를 사용하는 경우
- Microsoft IIS
∙ 7.0 이상 : SSLv2 및 SSLv3 비활성화
∙ 7.0 미만 : 패치 지원 종료로 패치가 지원되는 상위 버전으로 업그레이드
- Apache HTTP Server (패치 미정)
∙ httpd
2.4.x : 영향받지 않음 (기본설정 : SSLv2
비활성화)
∙ httpd
2.2.x : 다음 가이드를 참고하여 SSLv2 및
SSLv3 비활성화
https://drownattack.com/apache.html
- Nginx (패치 미정)
∙ 0.7.64,
0.8.18 이하 : 다음 가이드를 참고하여
SSLv2 및 SSLv3 비활성화
https://drownattack.com/nginx.html
- Postfix
∙
Postfix 2.9.14, 2.10.8, 2.11.6, 3.0.2 이상 : 영향받지
않음 (기본설정 : SSLv2 비활성화)
※ 보안 강화를 위해 최신 버전으로 업데이트 또는 다음
가이드를 참고하여 설정 권고
https://drownattack.com/postfix.html
- Debian Linux
∙ 다음 보안 가이드를 참고하여 취약 버전에
대한 업데이트 진행
https://security-tracker.debian.org/tracker/CVE-2016-0800
- Redhat Linux
∙ 다음 보안 가이드를 참고하여 취약 버전에
대한 업데이트 진행
https://access.redhat.com/security/vulnerabilities/drown
- Ubuntu Linux
∙ 다음 보안 가이드를 참고하여 취약 버전에
대한 업데이트 진행
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-0800.html
- Suse Linux
∙ 다음 보안 가이드를 참고하여 취약 버전에
대한 업데이트 진행
https://www.suse.com/support/update/announcement/2016/suse-su-20160621-1.html
- Amazon AWS
∙ 다음 보안 가이드를 참고하여 취약 버전에
대한 업데이트 진행
https://aws.amazon.com/ko/security/security-bulletins/cve-2016-0800-advisory/
|
보안부서
실행
가이드
|
1) 실행 가이드
各社 보안담당자는 다음의
권고사항이 즉시 이행될 수 있도록 해주시기 바랍니다.
- 서버 관리자
관리자 조치사항을 참고하여 SSL/TLS를 사용하는 서버 및 솔루션은
취약점 테스트를 실시한 후,
벤더사 및 유지보수 업체에 업데이트 및 조치 방안을
확인하여 적용 바랍니다.
테스트 방법 :
1. 다음 사이트 접속하여 대상 URL 입력 후 결과 확인
https://drownattack.com/#check
2. 다음
openssl 점검코드를 이용해 결과 확인
openssl s_client -connect
localhost:[서비스 포트] -ssl2
의 결과가
"ssl negotiation failure" 이면 취약하지 않음
예)
> openssl s_client -connect localhost:80 -ssl2
CONNECTED(00000003)
139974706300568:error:1407F0E5:SSL routines:ssl2_write:ssl handshake
failure:s2_pkt.c:409:
|
상세내용
|
[1] https://www.openssl.org/news/secadv/20160301.txt
[2] http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24083
[3] https://drownattack.com/
|
기타
문의사항
|
|