상세 컨텐츠

본문 제목

OpenSSL, 라이브러리의 심각한 결점 패치

국내외 보안동향

by 알약(Alyac) 2016. 1. 29. 14:06

본문

OpenSSL, 라이브러리의 심각한 결점 패치

OpenSSL Patches Serious Flaws in Library


OpenSSL 프로젝트 팀이 crypto 라이브러리의 취약점 2개를 패치하였습니다. 


패치는 OpenSSL의 새로운 버전인 1.0.1r과 1.0.2f에 포함되어 있습니다. 


패치된 결점 중 심각한것은 OpenSSL 1.0.2의 X9.42스타일의 디피-헬만 파라미터 생성을 지원하는 부분에서 발견된 것으로, 이 파라미터들은 "안전한" 소수들만을 사용하여 생성되었지만, OpenSSL은 X9.42파라미터 파일에 사용 된 소수들이 안전하지 않을 수도 있다고 밝혔습니다. 


OpenSSL은 “OpenSSL은 TLS의 ephemeral DH(DHE)를 위한 SSL_OP_SINGLE_DH_USE 옵션을 지원한다. 이는 디폴트로 설정 되어 있지는 않다. 만약 이 옵션이 설정 되어 있지 않을 경우, 서버는 지속적으로 동일한 프라이빗 DH 지수를 사용할 것이며, 공격에 취약할 수 있다.”, “많은 인기 있는 어플리케이션들이 이 옵션을 사용 중이며, 이들은 위험하지 않을 것으로 생각 된다.”고 밝혔습니다. 


OpenSSL 1.0.1은 X9.42 파라미터를 지원하지 않기 때문에 이 취약점에 영향을 받지 않습니다. 


패치에 포함 된 또 다른 취약점은 1.0.2와 1.0.1 버전에 존재하며, 이는 공격자가 취약한 SSLv2를 이용하여 클라이언트 단에서 해킹 공격을 실행할 수 있는 취약점입니다. 


출처 :

https://threatpost.com/openssl-patches-serious-flaw-that-puts-popular-applications-at-risk/116063/



관련글 더보기

댓글 영역