OpenSSL, 라이브러리의 심각한 결점 패치
OpenSSL Patches Serious Flaws in Library
OpenSSL 프로젝트 팀이 crypto 라이브러리의 취약점 2개를 패치하였습니다.
패치는 OpenSSL의 새로운 버전인 1.0.1r과 1.0.2f에 포함되어 있습니다.
패치된 결점 중 심각한것은 OpenSSL 1.0.2의 X9.42스타일의 디피-헬만 파라미터 생성을 지원하는 부분에서 발견된 것으로, 이 파라미터들은 "안전한" 소수들만을 사용하여 생성되었지만, OpenSSL은 X9.42파라미터 파일에 사용 된 소수들이 안전하지 않을 수도 있다고 밝혔습니다.
OpenSSL은 “OpenSSL은 TLS의 ephemeral DH(DHE)를 위한 SSL_OP_SINGLE_DH_USE 옵션을 지원한다. 이는 디폴트로 설정 되어 있지는 않다. 만약 이 옵션이 설정 되어 있지 않을 경우, 서버는 지속적으로 동일한 프라이빗 DH 지수를 사용할 것이며, 공격에 취약할 수 있다.”, “많은 인기 있는 어플리케이션들이 이 옵션을 사용 중이며, 이들은 위험하지 않을 것으로 생각 된다.”고 밝혔습니다.
OpenSSL 1.0.1은 X9.42 파라미터를 지원하지 않기 때문에 이 취약점에 영향을 받지 않습니다.
패치에 포함 된 또 다른 취약점은 1.0.2와 1.0.1 버전에 존재하며, 이는 공격자가 취약한 SSLv2를 이용하여 클라이언트 단에서 해킹 공격을 실행할 수 있는 취약점입니다.
출처 :
https://threatpost.com/openssl-patches-serious-flaw-that-puts-popular-applications-at-risk/116063/
MediaTek 프로세서에서 백도어 발견, 안드로이드 기기 원격 해킹으로 이어질 수 있어 (0) | 2016.02.02 |
---|---|
Linux Kernel 2.6.32 LTS 지원 종료! (0) | 2016.02.02 |
크롬 브라우저 및 OS 유저들을 타겟으로, 악성 크롬 확장 프로그램을 사용하는 스캐머들 급증 (0) | 2016.01.29 |
오픈소스 '교육용' 코드를 악용하는 Magic 랜섬웨어 발견 (0) | 2016.01.28 |
아이폰 충돌 및 재부팅을 야기하는 링크 성행! (0) | 2016.01.28 |
댓글 영역