상세 컨텐츠

본문 제목

CVE-2016-8610: “SSL Death Alert“ 취약점 발견

국내외 보안동향

by 알약(Alyac) 2016. 10. 27. 13:47

본문

CVE-2016-8610: “SSL Death Alert“ 취약점 발견



최근 SSL 핸드쉐이크 과정 중 ALERT 패킷을 정의하는 부분에서 서비스 거부공격을 발생시킬 수 있는 취약점이 발견되었습니다. 공격자는 해당 취약점을 이용하여 ClientHello 패킷을 처리하기 위해서 추가적인 쓰레드를 할당하지 않고 암호화 라이브러리로 컴파일 된 서버에 서비스 거부공격을 거행할 수 있습니다.


취약점 내용


OpenSSL의 SSL/TLS 프로토콜 핸드쉐이크 과정 중, 클라이언트가 "SSL3_RT_ALERT" ▶ "SSL3_AL_WARNING" 유형의 정의되지 않은 ALERT패킷을 재발송하도록 허용합니다. OpenSSL이 정의되지 않은 ALERT패킷을 받았음에도 불구하고 해당 패킷을 무시하고, 계속적으로 다음 통신내용을 처리합니다. 


공격자는 해당 취약점을 이용하여 한 개의 메세지 중 대량의 정의되지 않은 ALERT패킷을 전송하여, 서버나 프로세스를 무한루프 상태로 만들어 서버를 서비스 불능상태로 만들거나 CPU 사용률을 100%로 만들 수 있습니다. 


모든 버전의 OpenSSL 라이브러리 중 SSL/TLS 프로토콜이 영향을 받을 것으로 추측되며, 그 중 HTTPS서비스를 제공하는 Nginx는 해당 공격에 더욱 취약한 것으로 확인되었습니다. 



해당 취약점은  "SSL Death Alert”로 명명되었습니다.



취약점 번호


CVE-2016-8610



영향받는 버전


OpenSSL 1.1.0

OpenSSL 1.0.2 - 1.0.2h

OpenSSL All 1.0.1

OpenSSL All 0.9.8 



영향받지 않는 버전


OpenSSL >= 1.0.2j

OpenSSL >= 1.1.0b



취약점 패치 방법


영향받지 않는 버전으로 업데이트







참고

https://access.redhat.com/security/cve/CVE-2016-8610/

http://bobao.360.cn/learning/detail/3137.html

관련글 더보기

댓글 영역