CVE-2016-8610: “SSL Death Alert“ 취약점 발견

CVE-2016-8610: “SSL Death Alert“ 취약점 발견

최근 SSL 핸드쉐이크 과정 중 ALERT 패킷을 정의하는 부분에서 서비스 거부공격을 발생시킬 수 있는 취약점이 발견되었습니다. 공격자는 해당 취약점을 이용하여 ClientHello 패킷을 처리하기 위해서 추가적인 쓰레드를 할당하지 않고 암호화 라이브러리로 컴파일 된 서버에 서비스 거부공격을 거행할 수 있습니다.

취약점 내용

OpenSSL의 SSL/TLS 프로토콜 핸드쉐이크 과정 중, 클라이언트가 "SSL3_RT_ALERT" ▶ "SSL3_AL_WARNING" 유형의 정의되지 않은 ALERT패킷을 재발송하도록 허용합니다. OpenSSL이 정의되지 않은 ALERT패킷을 받았음에도 불구하고 해당 패킷을 무시하고, 계속적으로 다음 통신내용을 처리합니다. 

공격자는 해당 취약점을 이용하여 한 개의 메세지 중 대량의 정의되지 않은 ALERT패킷을 전송하여, 서버나 프로세스를 무한루프 상태로 만들어 서버를 서비스 불능상태로 만들거나 CPU 사용률을 100%로 만들 수 있습니다. 

모든 버전의 OpenSSL 라이브러리 중 SSL/TLS 프로토콜이 영향을 받을 것으로 추측되며, 그 중 HTTPS서비스를 제공하는 Nginx는 해당 공격에 더욱 취약한 것으로 확인되었습니다. 

해당 취약점은  "SSL Death Alert”로 명명되었습니다.

취약점 번호

CVE-2016-8610

영향받는 버전

OpenSSL 1.1.0

OpenSSL 1.0.2 - 1.0.2h

OpenSSL All 1.0.1

OpenSSL All 0.9.8 

영향받지 않는 버전

OpenSSL >= 1.0.2j

OpenSSL >= 1.1.0b

취약점 패치 방법

영향받지 않는 버전으로 업데이트

참고 : 

https://access.redhat.com/security/cve/CVE-2016-8610/

http://bobao.360.cn/learning/detail/3137.html