로고 이미지

  • 전체보기 (3577) N
    • 이스트시큐리티 소식 (221)
    • 국내외 보안동향 (2014) N
    • 악성코드 분석 리포트 (704) N
    • 전문가 기고 (89)
    • 알약人 이야기 (59)
    • PC&모바일 TIP (92) N
    • 스미싱 알림 (394)

고정 헤더 영역

글 제목

메뉴 레이어

로고 이미지

메뉴 리스트

    • 전체보기 (3577) N
      • 이스트시큐리티 소식 (221)
      • 국내외 보안동향 (2014) N
      • 악성코드 분석 리포트 (704) N
      • 전문가 기고 (89)
      • 알약人 이야기 (59)
      • PC&모바일 TIP (92) N
      • 스미싱 알림 (394)

    검색 레이어

    로고 이미지

    검색 영역

    컨텐츠 검색

    OpenSSL

    • OpenSSL, 치명적인 서비스 거부 및 인증서 검증 취약점 수정

      2021.03.26 by 알약4

    • 새로운 Intel CPU 취약점, 암호화 된 데이터를 훔치기 위해 하이퍼 스레딩 악용해

      2018.11.05 by 알약(Alyac)

    • CVE-2017-3737 : OpenSSL Read/write after in error state 취약점

      2017.12.11 by 알약(Alyac)

    • OpenSSL, “높은’ 위험도의 취약점을 수정하는 패치 공개돼

      2016.11.14 by 알약(Alyac)

    • CVE-2016-8610: “SSL Death Alert“ 취약점 발견

      2016.10.27 by 알약(Alyac)

    • OpenSSL OCSP Status Request Extension취약점(CVE-2016- 6304) 패치!

      2016.09.26 by 알약(Alyac)

    • OpenSSL CVE-2016-2107 취약점 발견

      2016.06.01 by 알약(Alyac)

    • DROWN 취약점 공격 주의!

      2016.03.02 by 알약(Alyac)

    OpenSSL, 치명적인 서비스 거부 및 인증서 검증 취약점 수정

    OpenSSL fixes severe DoS, certificate validation vulnerabilities OpenSSL 프로젝트가 OpenSSL 제품에 숨어있는 심각도 높은 취약점 2개인 CVE-2021-3449, CVE-2021-3450에 대한 보안 권고를 발행했습니다. OpenSSL은 보안 통신을 설정해야 하는 네트워킹 애플리케이션 및 서버를 빌드하는데 흔히 사용되는 소프트웨어 라이브러리입니다. 해당 취약점은 아래와 같습니다. - CVE-2021-3449: NULL 포인터 역참조로 인한 서비스 거부 취약점으로 OpenSSL 클라이언트가 아닌 서버 인스턴스에만 영향을 미침 - CVE-2021-3450: 부적절한 인증 기관(CA) 인증서 검증 취약점으로 서버, 클라이언트 인스턴스 모두에 영향을..

    국내외 보안동향 2021. 3. 26. 09:00

    새로운 Intel CPU 취약점, 암호화 된 데이터를 훔치기 위해 하이퍼 스레딩 악용해

    New Intel CPU Flaw Exploits Hyper-Threading to Steal Encrypted Data 보안 연구원 팀이 Intel CPU에서 또 다른 사이드채널 취약점을 발견했습니다. 이 취약점은 공격자가 동시 멀티 스레딩 기술이 활성화 된 동일한 CPU 코어에서 실행 되는 다른 프로세스들에서 패스워드, 암호화 키와 같은 보호 된 중요한 데이터를 스니핑할 수 있도록 허용합니다. PortSmash (CVE-2018-5407)라 명명 된 이 취약점은 Meltdown, Spectre, TLBleed, Foreshadow를 포함해 지난해 발견 된 다른 위험한 사이드채널 취약점들 중 하나가 되었습니다. 핀란드의 Tampere University of Technology와 쿠바의 Technica..

    국내외 보안동향 2018. 11. 5. 14:57

    CVE-2017-3737 : OpenSSL Read/write after in error state 취약점

    취약점 개요 "error state" 상태에서 SSL_read() 혹은 SSL_write() 함수를 호출할 때, "error state"메커니즘의 버그 때문에 원래의 의도대로 동작하지 않게 됩니다. 이 때문에 원래 데이터가 OpenSSL을 통해 데이터가 암/복호화 되어야 하는데, 더 이상 SSL/TLS 레이어에서 암/복호화 처리가 불가하게 됩니다. CVE 번호 CVE-2017-3737 취약점 원인 OpenSSL 라이브러리를 호출하는 응용 프로그램에 버그가 있습니다. 이 버그는, 헨드쉐이크 과정 중에서 이미 "fatal error"이 발생하였지만, bug로 인하여 SSL_read()/SSL_write()가 호출되는 것입니다. 해당 취약점은 2017년 11월 10일,David Benjamin(Google)에..

    국내외 보안동향 2017. 12. 11. 15:49

    OpenSSL, “높은’ 위험도의 취약점을 수정하는 패치 공개돼

    OpenSSL, “높은’ 위험도의 취약점을 수정하는 패치 공개돼OpenSSL Releases Patch For "High" Severity Vulnerability 지난 화요일, OpenSSL 프로젝트팀이 3개의 보안 취약점을 수정하는 OpenSSL 버전 1.1.0c를 공개했습니다. 이 중 가장 심각한 버그는 *-CHACHA20-POLY1305 암호화 스위트를 사용하는 TLS 연결과 관련된 힙 버퍼 오버플로우 버그(CVE-2016-7054)입니다. 구글 보안팀의 Robert Święcki가 제보한 해당 취약점은 더 큰 페이로드를 변조하여 DoS 공격으로 이어질 수 있으며, 결국 OpenSSL의 충돌을 야기시킵니다. 이 취약점의 위험도는 “높음”이며, OpenSSL의 1.1.0 이전 버전에는 영향을 미치지..

    국내외 보안동향 2016. 11. 14. 16:38

    CVE-2016-8610: “SSL Death Alert“ 취약점 발견

    CVE-2016-8610: “SSL Death Alert“ 취약점 발견 최근 SSL 핸드쉐이크 과정 중 ALERT 패킷을 정의하는 부분에서 서비스 거부공격을 발생시킬 수 있는 취약점이 발견되었습니다. 공격자는 해당 취약점을 이용하여 ClientHello 패킷을 처리하기 위해서 추가적인 쓰레드를 할당하지 않고 암호화 라이브러리로 컴파일 된 서버에 서비스 거부공격을 거행할 수 있습니다. 취약점 내용 OpenSSL의 SSL/TLS 프로토콜 핸드쉐이크 과정 중, 클라이언트가 "SSL3_RT_ALERT" ▶ "SSL3_AL_WARNING" 유형의 정의되지 않은 ALERT패킷을 재발송하도록 허용합니다. OpenSSL이 정의되지 않은 ALERT패킷을 받았음에도 불구하고 해당 패킷을 무시하고, 계속적으로 다음 통신내용..

    국내외 보안동향 2016. 10. 27. 13:47

    OpenSSL OCSP Status Request Extension취약점(CVE-2016- 6304) 패치!

    OpenSSL OCSP Status Request Extension취약점(CVE-2016- 6304) 패치! 지난주, OpenSSL이 암호화 코드 라이브러리의 취약점 다수를 패치했습니다. 그 중에는 DoS 공격에 악용될 수 있는 높은 위험수준의 취약점인 CVE-2016-6304도 포함되어 있었습니다. CVE-2016-6304 취약점은 DoS 공격을 실행하기 위해 타겟 컴퓨터에 연결협상 과정 중 큰 OCSP Status Request Extension을 보내 메모리 고갈을 야기시키는 취약점입니다. * OCSP 프로토콜이란?OCSP (Online Certificate Status Protocol)는 온라인 인증서 상태 프로토콜로 웹 사이트에 첨부된 디지털 인증서의 폐지상태를 파악하기 위해 설계된 프로토콜 입..

    국내외 보안동향 2016. 9. 26. 16:05

    OpenSSL CVE-2016-2107 취약점 발견

    OpenSSL CVE-2016-2107 취약점 발견 OpenSSL에서 중간자 공격이 가능한 취약점이 발견되었습니다. 클라이언트가 AES_128(256)_CBC와 관련된 암호화 모듈과 서버(AES-NI지원)와 통신할 때 공격자는 클라이언트와 서버가 주고받는 데이터에 Padding oracle attack을 통하여 복호화 할 수 있습니다. 영향받는 버전 OpenSSL 1.0.1s 이하 모든 버전OpenSSL 1.0.2g 이하 모든 버전 패치방법 OpenSSL 1.0.1t로 업그레이드OpenSSL 1.0.2h로 업그레이드 ※ CentOS/Red Hat Enterprise Linux yum clean allyum update opensslreboot ※ Ubuntu/Debian sudo apt-get updat..

    국내외 보안동향 2016. 6. 1. 16:46

    DROWN 취약점 공격 주의!

    DROWN 취약점 공격 주의! DROWN 취약점이란 “Decrypting RSA with Obsolete and Weakened eNcryption: 취약한 구식 암호화법을 통한 RSA 복호화”에서 따온 이름으로, SSLv2취약점을 악용한 교차 프로토콜 공격입니다. 원리 최신 서버와 클라이언트들은 TLS 프로토콜을 이용하여 암호화 통신을 합니다. 하지만 많은 서버들이 여전히 SSLv2도 지원을 하며, 디폴트로 SSLv2 연결을 허용하지 않는 서버들도 관리자들이 어플리케이션을 최적화 하는 도중 의도치 않게 설정이 변경되는 경우도 있습니다. DROWN 공격은 SSLv2를 지원하는 것만으로도 서버와 클라이언트에 큰 위협이 될 수 있음을 보여줍니다. DROWN 공격은 공격자가 특별히 제작한 악성 패킷을 서버로 ..

    국내외 보안동향 2016. 3. 2. 16:23

    추가 정보

    인기글

    1. -
      -
      [스미싱] (택배CJ)알림 배송했습니다 빠른시간에 확인부탁합니다

      2021.04.09 14:39

    2. -
      -
      "고객님의 계좌에서 결제." 제목으로 대량 유포되고 있는 혹스(Hoax) 메일 주의!!

      2021.04.02 13:49

    3. -
      -
      [스미싱] (택배CJ)알림 택배조회.

      2021.04.02 17:06

    4. -
      -
      지속적으로 유포되는 '입사지원서/이력서 위장 Makop 랜섬웨어' 메일 주의 (비너스락커 조직)

      2021.04.02 16:04

    최신글

    1. -
      -
      Outlaw 봇넷, 취약한 SSH의 비밀번호를 해킹하는 새로운 변종 발견돼

      국내외 보안동향

    2. -
      -
      HackBoss 클립보드 하이재커 통해 56만 달러 이상 수익 창출해

      국내외 보안동향

    3. -
      -
      외교·안보·국방·통일 분야 전문가 대상 표적 공격 급증 주의보

      악성코드 분석 리포트

    4. -
      -
      ESRC 주간 Email 위협 통계 (4월 둘째주)

      악성코드 분석 리포트

    페이징

    이전
    1 2
    다음
    • 운영정책
    • 이스트시큐리티 홈페이지
    • 이스트시큐리티 페이스북
    (주)이스트시큐리티 서울시 서초구 반포대로 3 이스트빌딩 (우) 06711
    이스트시큐리티 알약 블로그 Ⓒ ESTsecurity, ALL RIGHTS RESERVED.
    패밀리 사이트
    • 이스트시큐리티 홈페이지
    • 이스트시큐리티 페이스북
    • 이스트시큐리티 트위터
    • 이스트소프트 홈페이지
    ▲