728x90
- 공격자가 사용자를 스푸핑 할 수 있습니다 (공격자가 이용자의 ID 나 비밀번호가 유출 된 경우)
- 잘못된 주문 및 결제가 이뤄질 가능성이 있습니다 (공격자가 사용자로부터 웹 사이트의 지시 내용을 수정 한 경우)
이 취약점의 심각도
| 이 취약점의 심각도 | □ I (주의) | ■ II (경고) | □ III (위험) |
|---|---|---|---|
| 이 취약점의 CVSS 기본 값 | 4.0 |
대상
- OpenSSL 1.0.1 계열 중 1.0.1g 및 이전
- OpenSSL 1.0.1 계열 중 1.0.1g 및 이전
- OpenSSL 1.0.0 계열 중 1.0.0l 및 이전
- OpenSSL 0.9.8 계열 중 0.9.8y 및 이전
대책
Q & A
- 통신 경로상의 공격자이란?
- 이 취약점을 악용하기 위해서는 클라이언트와 서버 사이에 들어 통신을 중계해야합니다. 이러한 시나리오에서의 공격을 일반적으로 중앙 공격이라고이 때 공격자 신문은 통신 경로상의 공격자라고 부르고 있습니다. 일반적으로 통신 경로상의 공격자가되는 것은 쉬운 일이 아니라 ARP 스푸핑, DNS 스푸핑, IP 스푸핑 가짜 액세스 포인트의 설치 등 별도 준비가 필요합니다.
- 취약점의 심각도가 낮음에도 불구하고 공격이 행해진 경우의 영향이 크다는 것은?
- 취약점의 심각도는 CVSS 기본 값을 기반으로 기술적 인 평가이며, 그 소프트웨어의 사용 방법과 유출 · 변조의 대상이되는 정보의 중요도는 고려하지 않습니다. 이 취약점은 "OpenSSL"에 존재하고 일반적으로 중요한 정보를 취급하는 장면에서 사용된다고 가정 할 수 있기 때문에 공격이 행해진 경우의 영향이 크다고 판단했습니다.
- Change Cipher Spec 메시지는?
- SSL / TLS 핸드 셰이크 프로토콜의 하위 프로토콜의 한개이다 Change Cipher Spec 프로토콜에서 사용되는 메시지입니다. 통신에 사용되는 암호화 알고리즘 등을 알리기 위해 사용됩니다. 자세한 내용은 TLS 프로토콜의 설명 을 참조하십시오.
CVE-2014-0160 (소위 Heartbleed)의 차이
| JVN # 61247051 (본건) | CVE-2014-0160 (소위 Heartbleed) | |
|---|---|---|
| CVSS 기본 값 | 4.0 | 5.0 |
| 공격의 어려움 | 어려운 (가로 채기 공격이 필요) | 쉽게 (능동적 공격이 가능) |
| 정보 유출 가능성 | 있음 (암호화 통신 내용) | 있습니다 (메모리의 내용의 일부) |
| 정보의 훼손 가능성 | 있음 (암호화 통신 내용) | 없음 |
| 공격 코드의 존재 | 없음 (2014/06/06 시점에서 미확인) | (가) |
| 공격의 관측 | 없음 (2014/06/06 시점에서 미확인) | (가) |
| SSL 인증서의 재구성 | 불필요 | 요청 |
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| Help your pilot fly! (0) | 2014.06.11 |
|---|---|
| Pay attention to Cryptowall! (0) | 2014.06.11 |
| efax Spam Containing Malware (0) | 2014.06.09 |
| 英의회, 컴퓨터 범죄 처벌 강화 예정 (0) | 2014.06.08 |
| 버팔로 다운로드 사이트 바이러스 혼입에 의한 사과와보고 (0) | 2014.06.07 |