OpenSSL CVE-2016-2107 취약점 발견 OpenSSL에서 중간자 공격이 가능한 취약점이 발견되었습니다. 클라이언트가 AES_128(256)_CBC와 관련된 암호화 모듈과 서버(AES-NI지원)와 통신할 때 공격자는 클라이언트와 서버가 주고받는 데이터에 Padding oracle attack을 통하여 복호화 할 수 있습니다. 영향받는 버전 OpenSSL 1.0.1s 이하 모든 버전OpenSSL 1.0.2g 이하 모든 버전 패치방법 OpenSSL 1.0.1t로 업그레이드OpenSSL 1.0.2h로 업그레이드 ※ CentOS/Red Hat Enterprise Linux yum clean allyum update opensslreboot ※ Ubuntu/Debian sudo apt-get updat..

국내외 보안동향 2016. 6. 1. 16:46

OpenSSL 취약점 ‘HeartBleed’ 발견 2014년 4월은 보안시장에서 큰 이슈가 많이 발생한 달입니다. 4월 8일(한국시간), 13년 동안 우리의 인터넷 생활을 함께 해 온 XP 운영체제의 업데이트 지원이 종료되었으며, 그 다음날인 9일, HeartBleed(CVE-2014-0160)라고 명명된 OpenSSL버그가 발견되었습니다. '하트블리드(HeartBleed)' 취약점이란? HeartBleed란 OpenSSL 1.0.1 버전에서 발견된 매우 위험한 취약점 입니다. OpenSSL을 구성하고 있는 TLS/DTLS의 HeartBeat 확장규격에서 발견된 취약점으로, 해당 취약점을 이용하면 서버와 클라이언트 사이에 주고받는 정보들을 탈취할 수 있습니다. * OpenSSL은 정해진 규격의 네트워크 ..

전문가 기고 2014. 4. 17. 16:06

Caution Advised as Heartbleed Poses Serious Security Threat 심각한 보안 위협, 하트블리드(Heartbleed) 출처: Hot for Security OpenSSL 라이브러리에서 다양한 문제를 불러 일으킬 심각한 결함이 발견되었습니다. 이 피해의 범위를 정확히 파악할 수는 없겠지만, 사용자들은 각별한 주의를 기울일 필요가 있습니다. 하트블리드 버그는 이 버그를 알고 있던 사람이라면 누구에게든지, 특정 버전의 OpenSSL(SSL이나 TLS 암호화에 사용되는 라이브러리)을 사용하는 인터넷의 보안 웹 사이트에 대한 자유로운 접근 권한을 줄 수 있는 결함입니다. 이는 한 범죄자가 안전한 사이트에 들어가, 모두가 안전하다고 믿었던 민감한 정보를 훔치고 흔적 없이 빠..

국내외 보안동향 2014. 4. 15. 13:04