OpenSSL CVE-2015-1793 취약점 패치 권고

OpenSSL CVE-2015-1793 취약점 패치 권고

7월 9일, OpenSSL 측은 공격자가 중간자 공격을 통해 암호화된 웹사이트, 가상 프라이빗 네트워크, 이메일 서버로 위장하거나 암호화된 인터넷 트래픽을 스누핑할 수 있는 심각한 취약점을 패치하였습니다. 

이번 취약점 CVE-2015-1793은 인증서 확인 처리 과정에 존재하며, 실행 중 발생한  에러로 인하여 신뢰할 수 없는 새로운 인증서에 대한 확인 과정이 누락되면서 발생하는 취약점입니다. 해당 취약점을 악용하면 공격자가 인증서 경고를 우회회할 수 있으며 어플리케이션이 유효하지 않은 인증서를 정식 인증기관으로 취급하도록 제어할 수 있습니다. 

취약한 버전

 

OpenSSL 1.0.1n, 1.0.1o,1.0.2b, 1.0.2c 

영향받지 않는 버전

 

OpenSSL 1.0.0, 0.9.8

취약점 패치 방법

 

OpenSSL 1.0.2b, 1.0.2c 사용자는 OpenSSL 1.0.2d로 업그레이드

OpenSSL 1.0.1n, 1.0.1o 사용자는 OpenSSL 1.0.1p로 업그레이드

OpenSSL 취약점 관련 이전 포스팅 보기

OpenSSL 취약점 하트블리드(HeartBleed), 왜 위험한가?    (▶ 자세히보기)

SSLv3 'POODLE' 취약점 주요 정보    (▶ 자세히보기)

FREAK(cve-2015-0204) SSL 취약점 주의!    (▶ 자세히보기)

참고 

http://thehackernews.com/2015/07/openssl-vulnerability-ssl-certificate.html

https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

https://www.openssl.org/news/secadv_20150709.txt