¾È³çÇϽʴϱî? È£½ºÆ®¸ÞÄ« ¼¹ö °ü¸®ÆÀ ÀÔ´Ï´Ù.
ÃÖ±Ù OpenSSL ´ÙÁß Ãë¾àÁ¡ÀÌ ¹ß°ßµÊ¿¡ µû¶ó º¸¾ÈÁ¶Ä¡ ´çºÎµå¸³´Ï´Ù.
°³¿ä
- Ãë¾àÇÑ OpenSSL ¹öÀüÀ» »ç¿ëÇÏ´Â ¼¹ö¿Í Ŭ¶óÀ̾ðÆ® »çÀÌ¿¡¼ °ø°ÝÀÚ°¡ ¾ÏÈ£ÈµÈ µ¥ÀÌÅ͸¦
º¹È£ÈÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡, ¼ºñ½º °ÅºÎ Ãë¾àÁ¡, ÀÓÀÇÄÚµå ½ÇÇà Ãë¾àÁ¡ µî 6°³ÀÇ Ãë¾àÁ¡À»
º¸¿ÏÇÑ º¸¾È¾÷µ¥ÀÌÆ®¸¦ ¹ßÇ¥ÇÔ
¼³¸í
- Á¶ÀÛµÈ ÇÚµå¼ÎÀÌÅ© Àü¼ÛÀ» ÅëÇÑ Áß°£ÀÚ(MITM) °ø°ÝÀ¸·Î Àü¼Ûµ¥ÀÌÅ͸¦ º¹È£ÈÇÏ°í
¼¹ö/Ŭ¶óÀ̾ðÆ® °£ Àü¼Û µ¥ÀÌÅÍÀÇ Á¶ÀÛÀÌ °¡´ÉÇÑ Ãë¾àÁ¡ (CVE-2014-0224)
- ºñÁ¤»óÀûÀÎ DTLS ÇÚµå¼ÎÀÌÅ©¸¦ OpenSSL DTLS Ŭ¶óÀ̾ðÆ®¿¡ Àü¼ÛÇÏ¿©
¼ºñ½º °ÅºÎ °ø°ÝÀÌ °¡´ÉÇÑ Ãë¾àÁ¡ (CVE-2014-0221)
- ºñÁ¤»óÀûÀÎ DTLS ÇÁ·¡±×¸ÕÆ®¸¦ OpenSSL DTLS Ŭ¶óÀ̾ðÆ® ¶Ç´Â ¼¹ö¿¡ Àü¼ÛÇÏ¿©
ÀÓÀÇÄÚµå ½ÇÇàÀÌ °¡´ÉÇÑ Ãë¾àÁ¡ (CVE-2014-0195)
- do_ssl3_write ÇÔ¼öÀÇ °áÇÔÀ¸·Î ÀÎÇØ ÀÓÀÇÄÚµå ½ÇÇàÀÌ °¡´ÉÇÑ Ãë¾àÁ¡ (CVE-2014-0198)
¤ý ÇØ´ç Ãë¾àÁ¡Àº OpenSSL 1.0.0°ú 1.0.1¿¡¼ SSL_MODE_RELEASE_BUFFERS ¿É¼ÇÀÌ
È°¼ºÈµÇ¾úÀ» ¶§ ¹ß»ý(ÇØ´ç ¿É¼ÇÀº ±âº»ÀûÀ¸·Î ºñÈ°¼º »óÅÂÀÓ)
- ssl3_read_bytes ÇÔ¼öÀÇ °æÀï »óÅÂ(race condition)À¸·Î ÀÎÇØ °ø°ÝÀÚ°¡ ¼¼¼Ç¿¡ µ¥ÀÌÅ͸¦ ÁÖÀÔ½ÃÅ°°Å³ª
¼ºñ½º °ÅºÎ °ø°ÝÀÌ °¡´ÉÇÑ Ãë¾àÁ¡ (CVE-2010-5298)
¤ý ÇØ´ç Ãë¾àÁ¡Àº OpenSSL 1.0.0°ú 1.0.1À» »ç¿ëÇÏ´Â ¸ÖƼ¾²·¹µå ¾îÇø®ÄÉÀ̼ǿ¡¼
SSL_MODE_RELEASE_BUFFERS ¿É¼ÇÀÌ È°¼ºÈµÇ¾úÀ» ¶§ ¹ß»ý
(ÇØ´ç ¿É¼ÇÀº ±âº»ÀûÀ¸·Î ºñÈ°¼º »óÅÂÀÓ)
- anonymous ECDH ciphersuites°¡ È°¼ºÈµÈ OpenSSL TLS Ŭ¶óÀ̾ðÆ®¿¡
¼ºñ½º °ÅºÎ °ø°ÝÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡(CVE-2014-3470)
ÇØ´ç ½Ã½ºÅÛ
- ¿µÇâ ¹Þ´Â Á¦Ç° ¹× ¹öÀü
[1] OpenSSL 0.9.8 ´ë ¹öÀü
[2] OpenSSL 1.0.0 ´ë ¹öÀü
[3] OpenSSL 1.0.1 ´ë ¹öÀü
ÇØ°á ¹æ¾È
- ÇØ´ç Ãë¾àÁ¡¿¡ ¿µÇâ ¹Þ´Â ¹öÀüÀÇ »ç¿ëÀÚ´Â ¾Æ·¡ ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®
[1] OpenSSL 0.9.8 ´ë ¹öÀü »ç¿ëÀÚ : 0.9.8za ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®
[2] OpenSSL 1.0.0 ´ë ¹öÀü »ç¿ëÀÚ : 1.0.0m ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®
[3] OpenSSL 1.0.1 ´ë ¹öÀü »ç¿ëÀÚ : 1.0.1h ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®
[Âü°í»çÀÌÆ®]
- http://www.openssl.org/news/secadv_20140605.txt