Opensshd 통해 사용자 계정을 유추할 수 있는 취약점 발견! Opensshd에서 사용자 계정을 유추할 수 있는 취약점이 발견되었습니다. 이 취약점을 이용하면 공격자가 원격에서 SSHD를 사용하는 시스템 사용자의 계정을 유추해 낼 수 있습니다. 이 취약점은 SHA256/SHA512 알고리즘의 계산이 BLOWFISH 알고리즘 보다 더 오래 걸리는 점을 이용한 것으로, Opensshd의 기본 설정이 BLOWFISH($2) 알고리즘으로 설정되어 있는 것을 악용한 것입니다. SSHD 소스코드에는 패스워드 구조가 하드코딩 되어있는데, 이 구조는 BLOWFISH($2) 알고리즘에 기반하고 있습니다. 만약 실제 사용자의 비밀번호를 SHA256/SHA512 알고리즘으로 암호화 한 후 긴 패스워드(10KB)를 전송하..

국내외 보안동향 2016. 7. 18. 16:51