OpenSSL CVE-2016-2107 취약점 발견 OpenSSL에서 중간자 공격이 가능한 취약점이 발견되었습니다. 클라이언트가 AES_128(256)_CBC와 관련된 암호화 모듈과 서버(AES-NI지원)와 통신할 때 공격자는 클라이언트와 서버가 주고받는 데이터에 Padding oracle attack을 통하여 복호화 할 수 있습니다. 영향받는 버전 OpenSSL 1.0.1s 이하 모든 버전OpenSSL 1.0.2g 이하 모든 버전 패치방법 OpenSSL 1.0.1t로 업그레이드OpenSSL 1.0.2h로 업그레이드 ※ CentOS/Red Hat Enterprise Linux yum clean allyum update opensslreboot ※ Ubuntu/Debian sudo apt-get updat..

국내외 보안동향 2016. 6. 1. 16:46

DROWN 취약점 공격 주의! DROWN 취약점이란 “Decrypting RSA with Obsolete and Weakened eNcryption: 취약한 구식 암호화법을 통한 RSA 복호화”에서 따온 이름으로, SSLv2취약점을 악용한 교차 프로토콜 공격입니다. 원리 최신 서버와 클라이언트들은 TLS 프로토콜을 이용하여 암호화 통신을 합니다. 하지만 많은 서버들이 여전히 SSLv2도 지원을 하며, 디폴트로 SSLv2 연결을 허용하지 않는 서버들도 관리자들이 어플리케이션을 최적화 하는 도중 의도치 않게 설정이 변경되는 경우도 있습니다. DROWN 공격은 SSLv2를 지원하는 것만으로도 서버와 클라이언트에 큰 위협이 될 수 있음을 보여줍니다. DROWN 공격은 공격자가 특별히 제작한 악성 패킷을 서버로 ..

국내외 보안동향 2016. 3. 2. 16:23

OpenSSL, 라이브러리의 심각한 결점 패치OpenSSL Patches Serious Flaws in Library OpenSSL 프로젝트 팀이 crypto 라이브러리의 취약점 2개를 패치하였습니다. 패치는 OpenSSL의 새로운 버전인 1.0.1r과 1.0.2f에 포함되어 있습니다. 패치된 결점 중 심각한것은 OpenSSL 1.0.2의 X9.42스타일의 디피-헬만 파라미터 생성을 지원하는 부분에서 발견된 것으로, 이 파라미터들은 "안전한" 소수들만을 사용하여 생성되었지만, OpenSSL은 X9.42파라미터 파일에 사용 된 소수들이 안전하지 않을 수도 있다고 밝혔습니다. OpenSSL은 “OpenSSL은 TLS의 ephemeral DH(DHE)를 위한 SSL_OP_SINGLE_DH_USE 옵션을 지원한..

국내외 보안동향 2016. 1. 29. 14:06

OpenSSL CVE-2015-1793 취약점 패치 권고 7월 9일, OpenSSL 측은 공격자가 중간자 공격을 통해 암호화된 웹사이트, 가상 프라이빗 네트워크, 이메일 서버로 위장하거나 암호화된 인터넷 트래픽을 스누핑할 수 있는 심각한 취약점을 패치하였습니다. 이번 취약점 CVE-2015-1793은 인증서 확인 처리 과정에 존재하며, 실행 중 발생한 에러로 인하여 신뢰할 수 없는 새로운 인증서에 대한 확인 과정이 누락되면서 발생하는 취약점입니다. 해당 취약점을 악용하면 공격자가 인증서 경고를 우회회할 수 있으며 어플리케이션이 유효하지 않은 인증서를 정식 인증기관으로 취급하도록 제어할 수 있습니다. 취약한 버전 OpenSSL 1.0.1n, 1.0.1o,1.0.2b, 1.0.2c 영향받지 않는 버전 Ope..

국내외 보안동향 2015. 7. 10. 13:28