728x90
독일의 보안 연구원 Werner Koch, GnuPG 암호화 라이브러리에서 취약점(CVE-2017-7526)을 발견
주요내용
해당 취약점(CVE-2017-7526)은 RSA-1024 암호화 키 추출이 가능함
- 해당 취약점은 GnuPG에서 사용하는 Libgcrypt 암호화 라이브러리에 존재하며 로컬에서 부채널 공격을 가능하게 함
※ 부채널 공격 : 디바이스 내에서 보안 모듈이 구동되면서 발생하는 다양한 부가적인 누수 정보를 이용하여 암호키를 크랙킹하는 공격
GnuPG(Gnu Privacy Guard)는 리눅스 및 FreeBSD부터 Windows, Mac OS X까지 많은 운영체제에서 사용되는 오픈 소스 암호화 소프트웨어임
해당 취약점을 이용하여 RSA-1024를 암호화하기 위한 전체 키를 복구할 수 있음
시사점
Debian과 Ubuntu에서는 이미 LibgCrypt 라이브러리에 대한 최신 배치를 발표
GnuPG를 사용 중인 이용자들은 Libgcrypt 라이브러리에 대한 버전 확인 후 최신 버전(1.7.8)으로 업데이트 할 것을 권고
[출처]
1. The Hacker News, “Researchers Crack 1024-bit RSA Encryption in GnuPG Crypto Library”, 2017.7.3
2. info-gnu, “Libgcrypt 1.7.8 released to fix CVE-2017-7526", 2017.6.
728x90
'취약점 정보1' 카테고리의 다른 글
| MS 7월 보안 위협에 따른 정기 및 기타 보안 업데이트 권고 (0) | 2017.07.12 |
|---|---|
| 한컴보안업데이트 안내 (0) | 2017.07.12 |
| CiSCO 제품군 다중 취약점 보안 업데이트 권고 (0) | 2017.07.07 |
| ipTIME 유무선 공유기 6종 펌웨어 10.00.4 배포 (0) | 2017.07.06 |
| ipTIME 유무선 공유기 82종 펌웨어 10.00.2 배포 (0) | 2017.06.30 |
