OpenSSL 다중취약점 보안업데이트

2015.04.02 02:06

ischo 조회 수:12674

원문 : http://www.ischo.net -- 조인상 // 시스템 엔지니어

Writer : http://www.ischo.net -- ischo // System Engineer in Replubic Of Korea

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

 

 

 

원문 : http://www.ischo.net -- 조인상 //시스템 엔지니어

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

 

□ 개요
o 취약한 OpenSSL 버전을 사용하는 서버와 클라이언트 사이에서 공격자가
암호화된 데이터를 복호화할 수 있는 취약점, 서비스 거부 취약점 등 14개의
취약점을 보완한 보안업데이트를 발표


□ 설명
o NULL 포인터 역참조에 의한 서비스 거부 공격에 악용될 수 있는 취약점
(CVE-2015-0291)
o OpenSSL RSA 암호화 키를 512비트로 다운그레이드 시키는 취약점
(FREAK, CVE-2015-0204)
o 멀티 블록 포인터 손상에 의한 서비스 거부 공격에 악용될 수 있는 취약점
(CVE-2015-0290)
o DTLSv1_listen 함수에서 잘못된 메모리 접근으로 인해 서비스 거부 공격에
악용될 수 있는 취약점(CVE-2015-0207)
o ASN1_TYPE_cmp 함수에서 잘못된 메모리 접근으로 인해 서비스 거부 공격에
악용될 수 있는 취약점(CVE-2015-0286)
o PSS 파라미터에서 잘못된 메모리 접근으로 인해 서비스 거부 공격에 악용될
수 있는 취약점(CVE-2015-0208)
o 메모리 재사용 시 발생할 수 있는 메모리 손상 취약점(CVE-2015-0287)
o PKCS#7 NULL 포인터 역참조에 의한 데이터의 조작이 가능한 취약점
(CVE-2015-0289)
o base64로 인코딩된 데이터 처리 중 발생하는 메모리 충돌 취약점
(CVE-2015-0292)
o SSLv2 서버를 대상으로 한 서비스 거부 취약점(CVE-2015-0293)
o ClientKeyExchange 전송 중 서비스 거부 공격에 악용될 수 있는 취약점
(CVE-2015-1787)
o 난수 생성을 위해 핸드쉐이크 메시지 처리 중 서비스 거부 공격이 발생할
수 있는 취약점(CVE-2015-0285)
o d2i_ECPrivateKey 함수 에러로 인해 발생하는 use-after-free 취약점
(CVE-2015-0209)
문화체육관광 사이버안전센터
o X509_to_X509_REQ 함수 NULL 포인터 역참조에 의한 서비스 거부 공격에
악용될 수 있는 취약점(CVE-2015-0288)


□ 해당 시스템
o 영향 받는 제품 및 버전
- OpenSSL 0.9.8 대 버전
- OpenSSL 1.0.0 대 버전
- OpenSSL 1.0.1 대 버전
- OpenSSL 1.0.2 대 버전


□ 해결 방안
o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]
- OpenSSL 0.9.8 사용자 : 0.9.8zf로 업데이트
- OpenSSL 1.0.0 사용자 : 1.0.0r로 업데이트
- OpenSSL 1.0.1 사용자 : 1.0.1m로 업데이트
- OpenSSL 1.0.2 사용자 : 1.0.2a로 업데이트


□ 용어 정리
o PSS : RSA 암호화를 기반으로 동작 전자서명 알고리즘
o PKCS#7 : RSA사가 제시한 공개 키 암호 표준의 하나로 암호학적 메시지
구문 표준

 

 

참고사이트

https://www.openssl.org/news/secadv_20150319.txt
https://www.openssl.org

 

 

 

 

1. 다운로드

https://www.openssl.org/source/openssl-0.9.8zf.tar.gz

https://www.openssl.org/source/openssl-1.0.0r.tar.gz

https://www.openssl.org/source/openssl-1.0.1m.tar.gz

http://www.openssl.org/source/openssl-1.0.2a.tar.gz

 

 

2. 기존 바이너리 백업

# cp /usr/bin/openssl /install/openssl/openssl-0.9.8e-12.el5.binary.backup_usr.bin.openssl

 

 

3. 서버 업로드 및 설치

# cd /install/openssl

# wget http://www.openssl.org/source/openssl-1.0.2a.tar.gz

# tar zxf openssl-1.0.2a.tar.gz

# cd openssl-1.0.2a

# ./config

# make

# make test

# make install

 

 

4. 기존 바이너리 대체

# rm /usr/bin/openssl

# ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

# openssl version

OpenSSL 1.0.2a 19 Mar 2015

 

 

 

 

 

 

 

 

번호 제목 글쓴이 날짜 조회 수
공지 [공지] 게시자료 열람자유. 불펌금지입니다. 조인상 2010.12.07 29928
94 CentOS 7에 Apache2, php7.3, MariaDB 설치하기 ischo 2019.09.02 487
93 리눅스에서 Windows Filesystem(NTFS) 마운트하기 ischo 2018.12.20 1852
92 SFTP로 자동 업로드/다운로드 스크립트 ischo 2018.04.04 5420
91 CIDR Conversion Table ischo 2018.03.08 2680
90 (스크립트) 오라클 DB서버에서 매일 원격지 FTP로 export 파일 업로드 하기 ischo 2017.11.04 3721
89 shell script를 cron으로 동작시킬때 .bashrc .bash_profile의 변수가 적용되지 않는다 ischo 2017.09.08 9605
88 재부팅 없이 SCSI device를 rescan하기 ischo 2017.03.16 12779
87 apache 404 에러에 OS 또는 apache버전을 표시하는 취약점 없애기 ischo 2016.10.25 7172
86 RHEL/CentOS 7 환경에서 자동업데이트 disable 시키기 ischo 2016.07.02 9010
85 NTP 서버 설정 ischo 2016.03.03 10221
84 read/write test of Storage Filesystem ischo 2015.12.16 9788
83 RHEL/CentOS 7 에서 Network 설정하기 ischo 2015.08.31 15576
82 RHEL 6.x 에서 multipath 설정 ischo 2015.07.31 24628
81 copy 시 I/O error 발생한 파일을 dd로 복사하기 ischo 2015.07.27 9512
» OpenSSL 다중취약점 보안업데이트 ischo 2015.04.02 12674
79 HP DL/ML 시리즈용 SmartArray CLI 유틸리티 사용 설명서 ischo 2015.02.11 10267
78 XDMCP 연결시 필요한 port 번호 ischo 2014.12.24 15848
77 CentOS 6.5 환경에서 Multipath 구성하기 - 작성중 secret ischo 2014.08.05 0
76 CentOS 6.4 에서 Apache 2.4버전 RPM build 하기 file ischo 2014.07.29 13955
75 ubuntu 에서 /boot 파일시스템 full 날 경우 이미지 삭제방법 ischo 2014.05.12 13353
서버에 요청 중입니다. 잠시만 기다려 주십시오...