OpenSSL 다중취약점 보안업데이트

2015.04.02 02:06

ischo 조회 수:13567

원문 : http://www.ischo.net -- 조인상 // 시스템 엔지니어

Writer : http://www.ischo.net -- ischo // System Engineer in Replubic Of Korea

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

 

□ 개요
o 취약한 OpenSSL 버전을 사용하는 서버와 클라이언트 사이에서 공격자가
암호화된 데이터를 복호화할 수 있는 취약점, 서비스 거부 취약점 등 14개의
취약점을 보완한 보안업데이트를 발표


□ 설명
o NULL 포인터 역참조에 의한 서비스 거부 공격에 악용될 수 있는 취약점
(CVE-2015-0291)
o OpenSSL RSA 암호화 키를 512비트로 다운그레이드 시키는 취약점
(FREAK, CVE-2015-0204)
o 멀티 블록 포인터 손상에 의한 서비스 거부 공격에 악용될 수 있는 취약점
(CVE-2015-0290)
o DTLSv1_listen 함수에서 잘못된 메모리 접근으로 인해 서비스 거부 공격에
악용될 수 있는 취약점(CVE-2015-0207)
o ASN1_TYPE_cmp 함수에서 잘못된 메모리 접근으로 인해 서비스 거부 공격에
악용될 수 있는 취약점(CVE-2015-0286)
o PSS 파라미터에서 잘못된 메모리 접근으로 인해 서비스 거부 공격에 악용될
수 있는 취약점(CVE-2015-0208)
o 메모리 재사용 시 발생할 수 있는 메모리 손상 취약점(CVE-2015-0287)
o PKCS#7 NULL 포인터 역참조에 의한 데이터의 조작이 가능한 취약점
(CVE-2015-0289)
o base64로 인코딩된 데이터 처리 중 발생하는 메모리 충돌 취약점
(CVE-2015-0292)
o SSLv2 서버를 대상으로 한 서비스 거부 취약점(CVE-2015-0293)
o ClientKeyExchange 전송 중 서비스 거부 공격에 악용될 수 있는 취약점
(CVE-2015-1787)
o 난수 생성을 위해 핸드쉐이크 메시지 처리 중 서비스 거부 공격이 발생할
수 있는 취약점(CVE-2015-0285)
o d2i_ECPrivateKey 함수 에러로 인해 발생하는 use-after-free 취약점
(CVE-2015-0209)
문화체육관광 사이버안전센터
o X509_to_X509_REQ 함수 NULL 포인터 역참조에 의한 서비스 거부 공격에
악용될 수 있는 취약점(CVE-2015-0288)


□ 해당 시스템
o 영향 받는 제품 및 버전
- OpenSSL 0.9.8 대 버전
- OpenSSL 1.0.0 대 버전
- OpenSSL 1.0.1 대 버전
- OpenSSL 1.0.2 대 버전


□ 해결 방안
o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]
- OpenSSL 0.9.8 사용자 : 0.9.8zf로 업데이트
- OpenSSL 1.0.0 사용자 : 1.0.0r로 업데이트
- OpenSSL 1.0.1 사용자 : 1.0.1m로 업데이트
- OpenSSL 1.0.2 사용자 : 1.0.2a로 업데이트


□ 용어 정리
o PSS : RSA 암호화를 기반으로 동작 전자서명 알고리즘
o PKCS#7 : RSA사가 제시한 공개 키 암호 표준의 하나로 암호학적 메시지
구문 표준

 

 

참고사이트

https://www.openssl.org/news/secadv_20150319.txt
https://www.openssl.org

 

 

 

 

1. 다운로드

https://www.openssl.org/source/openssl-0.9.8zf.tar.gz

https://www.openssl.org/source/openssl-1.0.0r.tar.gz

https://www.openssl.org/source/openssl-1.0.1m.tar.gz

http://www.openssl.org/source/openssl-1.0.2a.tar.gz

 

또는 그외 업데이트를 원하는 버전을 선택하여 다운로드

https://www.openssl.org/source/

 

 

2. 기존 바이너리 백업

 

### 기존 위치 및 버전 확인

# which openssl

/bin/openssl

# openssl version

OpenSSL 1.0.1k-fips  26 Jan 2017

 

 

### 백업

# cp /bin/openssl /bin/openssl-1.0.1k

 

 

3. 서버 업로드 및 설치

# cd /install/openssl

# wget http://www.openssl.org/source/openssl-1.0.2a.tar.gz

# tar zxf openssl-1.0.2a.tar.gz

# cd openssl-1.0.2a

# ./config

# make

# make test

# make install

 

 

4. 기존 바이너리 대체

# rm /bin/openssl

# ln -s /usr/local/ssl/bin/openssl /bin/openssl

# openssl version

OpenSSL 1.0.2a 19 Mar 2015

 

==================================

 

for 1.0.2 -> 1.1.1 upgrade

 

1. 신규 설치
./config --prefix=/usr/local/openssl-1.1.1t --openssldir=/usr/local/openssl-1.1.1t shared zlib
make
make install
/usr/local/openssl-1.1.1t/bin/openssl version


2. library 복사
cp /usr/local/openssl-1.1.1t/lib/libssl.so.1.1 /usr/lib64
cp /usr/local/openssl-1.1.1t/lib/libcrypto.so.1.1 /usr/lib64


3. 현재 link 확인

[root@kribb bin]# which openssl
/usr/bin/openssl
[root@kribb bin]# ll /usr/bin/openssl
lrwxrwxrwx. 1 root root 37 2022-05-23 10:06 /usr/bin/openssl -> /usr/local/openssl-1.0.2u/bin/openssl


4.link 변경
# rm /usr/bin/openssl;ln -s /usr/local/openssl-1.1.1t/bin/openssl /usr/bin/openssl

or

# mv /bin/openssl /bin/openssl-1.0.2k
# ln -s /usr/local/openssl-1.1.1t/bin/openssl /bin/openssl 

5. 확인
# openssl version

 

번호 제목 글쓴이 날짜 조회 수
공지 [공지] 게시자료 열람자유. 불펌금지입니다. 조인상 2010.12.07 30726
24 copy 시 I/O error 발생한 파일을 dd로 복사하기 ischo 2015.07.27 9862
23 RHEL 6.x 에서 multipath 설정 ischo 2015.07.31 27166
22 RHEL/CentOS 7 에서 Network 설정하기 ischo 2015.08.31 17260
21 read/write test of Storage Filesystem ischo 2015.12.16 10180
20 NTP 서버 설정 ischo 2016.03.03 10774
19 RHEL/CentOS 7 환경에서 자동업데이트 disable 시키기 ischo 2016.07.02 10193
18 apache 404 에러에 OS 또는 apache버전을 표시하는 취약점 없애기 ischo 2016.10.25 7682
17 재부팅 없이 SCSI device를 rescan하기 ischo 2017.03.16 16527
16 shell script를 cron으로 동작시킬때 .bashrc .bash_profile의 변수가 적용되지 않는다 ischo 2017.09.08 14745
15 (스크립트) 오라클 DB서버에서 매일 원격지 FTP로 export 파일 업로드 하기 ischo 2017.11.04 4333
14 CIDR Conversion Table ischo 2018.03.08 2965
13 SFTP로 자동 업로드/다운로드 스크립트 ischo 2018.04.04 7355
12 리눅스에서 Windows Filesystem(NTFS) 마운트하기 ischo 2018.12.20 3470
11 CentOS 7에 Apache2, php7.3, MariaDB 설치하기 ischo 2019.09.02 1926
10 Multi Putty Manager file ischo 2020.10.08 897
9 apache log4j 취약점 제거조치 CVE-2021-44228 CVE-2021-45046 CVE-2021-41045 CVE-2021-4104 ischo 2021.12.23 1050
8 [Shell] 시작한지 1시간 이상 경과한 프로세스 kill 하기 ischo 2022.06.16 244
7 파일시스템 사용량 추이를 http 전송으로 DB에 누적하기 file ischo 2022.08.29 752
6 구버전 Linux에서 Rocky Linux 9.1 버전으로 ssh 접속시 "no hostkey alg" 표시후 접속불가 ischo 2023.04.19 1169
5 vi 에디터에서 복사,붙여넣기 하면 # 마크가 자동으로 앞에 붙을때 ischo 2023.04.19 470
서버에 요청 중입니다. 잠시만 기다려 주십시오...