OpenSSL 취약점 및 업데이트 공개
OpenSSL에 관련되어 새로운 취약점 및 업데이트가 공개되었습니다.
무려 14개의 취약점이 발표되었는데요.
o 클라이언트에서 많은 양의 OCSP 요청을 보낼 경우 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6304)
o 특수하게 조작 된 레코드를 보낼 경우 SSL_peek의 결함으로 인해 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6305)
o 3DES 대칭암호의 암호스위트를 지원하는 SSL/TLS 프로토콜에서 SWEET32 공격이 가능한 취약점(CVE-2016-2183)
o MDC2_Update() 함수에서 오버플로우가 발생 해 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-6303)
o tls_decrypt_ticket 함수에서 티켓 길이 검증이 미흡하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6302)
o BN_bn2dec() 함수에서 리턴 값에 대한 체크를 하지 않아 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-2182)
o TS_OBJ_print_bio() 함수에서 Out-of-bounds 읽기가 발생할 수 있는 취약점(CVE-2016-2180)
o 포인터 연산에서 발생하는 문제로 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2177)
o DSA 구현상에 결함으로 공격자가 DSA 개인키를 추출할 수 있는 취약점(CVE-2016-2178)
o 악의적인 사용자가 많은 DTLS 세션을 유지하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2179)
o DTLS Anti-Replay 기능을 처리하는 과정에서 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2181)
o 메시지 길이 유효성 검사가 미흡하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6306)
o 특정 길이 이상의 TLS 메시지를 처리하는 과정에서 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6307)
o 특정 길이 이상의 DTLS 메시지를 처리하는 과정에서 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6308)
되도록 업데이트를 권장드립니다. openssl 홈페이지에서 해당 업데이트를 다운받으실 수 있습니다.
아직 redhat 공식홈페이지나 centos update에는 올라오지 않았네요. (글쓴 날짜 16.09.26 기준)
취약점 버전 및 fix버전
OpenSSL 1.1.0 -> 1.1.0a
OpenSSL 1.0.2 -> 1.0.2i
OpenSSL 1.0.1 -> 1.0.2u
관련 링크
관련 뉴스 : http://www.boannews.com/media/view.asp?idx=51873&kind=1
'잡다한 이야기' 카테고리의 다른 글
| Redhat 7 계열 Apache Tomcat 신규 취약점 (0) | 2016.10.17 |
|---|---|
| MySQL ZeroDay 취약점 발견 (CVE-2016-6662, 6663) (13) | 2016.09.19 |
| 마블 코믹스 순서와 입문 (0) | 2016.09.04 |
