OpenSSL 프로젝트가 두 개의 취약점(CVE-2021-3711, CVE-2021-3712)을 해결하는 보안 업데이트를 발표했습니다. CVE-2021-3711로 추적되는 심각도가 높은 버퍼 오버플로우 취약점(CVE-2021-3711)은 SM2 암호화 데이터의 암호 해독과 관련이 있습니다. 응용 프로그램에 복호화를 위해 SM2 콘텐츠를 제공할 수 있는 악의적인 공격자는 공격자가 선택한 데이터가 버퍼를 최대 62바이트까지 오버플로우하게 만들 수 있습니다. 이는 버퍼 뒤에 보관된 다른 데이터의 콘텐츠를 변경하여 애플리케이션 동작을 변경하거나 응용 프로그램 충돌을 야기할 수 있습니다. OpenSSL 프로젝트는 또한 CVE-2021-3712로 추적되는 중간 심각도 취약점을 수정했습니다. 이 취약점은 공격자가 D..

국내외 보안동향 2021. 8. 25. 11:40

OpenSSL fixes severe DoS, certificate validation vulnerabilities OpenSSL 프로젝트가 OpenSSL 제품에 숨어있는 심각도 높은 취약점 2개인 CVE-2021-3449, CVE-2021-3450에 대한 보안 권고를 발행했습니다. OpenSSL은 보안 통신을 설정해야 하는 네트워킹 애플리케이션 및 서버를 빌드하는데 흔히 사용되는 소프트웨어 라이브러리입니다. 해당 취약점은 아래와 같습니다. - CVE-2021-3449: NULL 포인터 역참조로 인한 서비스 거부 취약점으로 OpenSSL 클라이언트가 아닌 서버 인스턴스에만 영향을 미침 - CVE-2021-3450: 부적절한 인증 기관(CA) 인증서 검증 취약점으로 서버, 클라이언트 인스턴스 모두에 영향을..

국내외 보안동향 2021. 3. 26. 09:00

New Intel CPU Flaw Exploits Hyper-Threading to Steal Encrypted Data 보안 연구원 팀이 Intel CPU에서 또 다른 사이드채널 취약점을 발견했습니다. 이 취약점은 공격자가 동시 멀티 스레딩 기술이 활성화 된 동일한 CPU 코어에서 실행 되는 다른 프로세스들에서 패스워드, 암호화 키와 같은 보호 된 중요한 데이터를 스니핑할 수 있도록 허용합니다. PortSmash (CVE-2018-5407)라 명명 된 이 취약점은 Meltdown, Spectre, TLBleed, Foreshadow를 포함해 지난해 발견 된 다른 위험한 사이드채널 취약점들 중 하나가 되었습니다. 핀란드의 Tampere University of Technology와 쿠바의 Technica..

국내외 보안동향 2018. 11. 5. 14:57

취약점 개요 "error state" 상태에서 SSL_read() 혹은 SSL_write() 함수를 호출할 때, "error state"메커니즘의 버그 때문에 원래의 의도대로 동작하지 않게 됩니다. 이 때문에 원래 데이터가 OpenSSL을 통해 데이터가 암/복호화 되어야 하는데, 더 이상 SSL/TLS 레이어에서 암/복호화 처리가 불가하게 됩니다. CVE 번호 CVE-2017-3737 취약점 원인 OpenSSL 라이브러리를 호출하는 응용 프로그램에 버그가 있습니다. 이 버그는, 헨드쉐이크 과정 중에서 이미 "fatal error"이 발생하였지만, bug로 인하여 SSL_read()/SSL_write()가 호출되는 것입니다. 해당 취약점은 2017년 11월 10일,David Benjamin（Google）에..

국내외 보안동향 2017. 12. 11. 15:49

OpenSSL, “높은’ 위험도의 취약점을 수정하는 패치 공개돼OpenSSL Releases Patch For "High" Severity Vulnerability 지난 화요일, OpenSSL 프로젝트팀이 3개의 보안 취약점을 수정하는 OpenSSL 버전 1.1.0c를 공개했습니다. 이 중 가장 심각한 버그는 *-CHACHA20-POLY1305 암호화 스위트를 사용하는 TLS 연결과 관련된 힙 버퍼 오버플로우 버그(CVE-2016-7054)입니다. 구글 보안팀의 Robert Święcki가 제보한 해당 취약점은 더 큰 페이로드를 변조하여 DoS 공격으로 이어질 수 있으며, 결국 OpenSSL의 충돌을 야기시킵니다. 이 취약점의 위험도는 “높음”이며, OpenSSL의 1.1.0 이전 버전에는 영향을 미치지..

국내외 보안동향 2016. 11. 14. 16:38

CVE-2016-8610: “SSL Death Alert“ 취약점 발견 최근 SSL 핸드쉐이크 과정 중 ALERT 패킷을 정의하는 부분에서 서비스 거부공격을 발생시킬 수 있는 취약점이 발견되었습니다. 공격자는 해당 취약점을 이용하여 ClientHello 패킷을 처리하기 위해서 추가적인 쓰레드를 할당하지 않고 암호화 라이브러리로 컴파일 된 서버에 서비스 거부공격을 거행할 수 있습니다. 취약점 내용 OpenSSL의 SSL/TLS 프로토콜 핸드쉐이크 과정 중, 클라이언트가 "SSL3_RT_ALERT" ▶ "SSL3_AL_WARNING" 유형의 정의되지 않은 ALERT패킷을 재발송하도록 허용합니다. OpenSSL이 정의되지 않은 ALERT패킷을 받았음에도 불구하고 해당 패킷을 무시하고, 계속적으로 다음 통신내용..

국내외 보안동향 2016. 10. 27. 13:47

OpenSSL OCSP Status Request Extension취약점(CVE-2016- 6304) 패치! 지난주, OpenSSL이 암호화 코드 라이브러리의 취약점 다수를 패치했습니다. 그 중에는 DoS 공격에 악용될 수 있는 높은 위험수준의 취약점인 CVE-2016-6304도 포함되어 있었습니다. CVE-2016-6304 취약점은 DoS 공격을 실행하기 위해 타겟 컴퓨터에 연결협상 과정 중 큰 OCSP Status Request Extension을 보내 메모리 고갈을 야기시키는 취약점입니다. * OCSP 프로토콜이란?OCSP (Online Certificate Status Protocol)는 온라인 인증서 상태 프로토콜로 웹 사이트에 첨부된 디지털 인증서의 폐지상태를 파악하기 위해 설계된 프로토콜 입..

국내외 보안동향 2016. 9. 26. 16:05

OpenSSL CVE-2016-2107 취약점 발견 OpenSSL에서 중간자 공격이 가능한 취약점이 발견되었습니다. 클라이언트가 AES_128(256)_CBC와 관련된 암호화 모듈과 서버(AES-NI지원)와 통신할 때 공격자는 클라이언트와 서버가 주고받는 데이터에 Padding oracle attack을 통하여 복호화 할 수 있습니다. 영향받는 버전 OpenSSL 1.0.1s 이하 모든 버전OpenSSL 1.0.2g 이하 모든 버전 패치방법 OpenSSL 1.0.1t로 업그레이드OpenSSL 1.0.2h로 업그레이드 ※ CentOS/Red Hat Enterprise Linux yum clean allyum update opensslreboot ※ Ubuntu/Debian sudo apt-get updat..

국내외 보안동향 2016. 6. 1. 16:46