728x90
- RedHat사의 오픈 소스 제품들에 대한 취약점 발견은 내부의 자체 점검에 의한 것보다는 외부의 사용자들에
의한 발견이 더 많은 비중을 차지함
주요내용
- RedHat사는 공개적으로 이슈화된 자사 제품들의 취약점 정보들을 CVE 목록으로 구성하여 관리
※ CVE : 공개적으로 알려진 보안 취약점이나 노출 정보들을 정의하는 표현 - CVE 목록의 취약점들이 처음 발견되었던 여러 경로들
- 공개적인 기관을 통해 알려지는 경우( CERT, CVE Notification, Peer vendors )는 전체 10%
※ CERT( Computer Emergency Response Team ) : 컴퓨터 보안사고 대응팀으로 기업이나 기관의 업무 관할
지역 내에서 침해사고의 접수 및 처리 지원을 하는 기관
- RedHat의 직원들에 의해서 발견되는 경우는 전체 17%
- Upstream 프로젝트 업데이트 정보( Releationship )나 메일, 웹 페이지 등의 사용자들의 리포트 정보(Internet,
Individual)들을 활용하여 발견하는 경우가 전체 73%
※ Upstream 프로젝트 : 공개된 저장소에 소스를 변경하여 적용 할 수 있는 오픈 소스 프로젝트
< 처음 취약점 발견 경로 >
- 새로운 취약점에 대해서 RedHat사가 사전에 알고 있는 비율
- 과반수의 새로운 취약점들은 RedHat 사 외부에서 알려온 것
< 사전에 알고 있는 비율 >
- 오픈 소스 보안성의 결정은 그 소스의 사용자들에 의해 결정됨
- OpenSSL의 HeartBleed 취약점 역시 Google Security에서 발견됨
※ HeartBleed : TLS./DTLS(Transport Layer Security) heartbeat extention( RFC6520 )의 구현상의 버그로
인해 메모리 상에 있는 정보가 누출됨에 따라 개인키나 패스워드 등의 기밀 정보가 외부로 노출되는 취약점
- OpenSSL의 CCS Injection 취약점 역시 Upstream 프로젝트를 통해 RedHat사에 전달됨
※ CCS(ChangeCipherSpec) Injection: : OpenSSL의 ChangeCipherSpec 기능을 이용하여 취약한 키 교환
알고리즘을 서버나 클라이언트에게 사용하게 강요함으로써 제 3자가 기밀 정보를 취득할 수 있는 취약점
[출처]
1. https://securityblog.redhat.com/
2. http://heartbleed.com/
3. http://ccsinjection.lepidum.co.jp/
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 美 백악관, DHS에 민간 네트워크 스캔 권한 부여 (0) | 2014.10.22 |
|---|---|
| 2014년 2분기, DDoS 공격 감소 (0) | 2014.10.22 |
| 프루프 포인트, 미국, 유럽 은행 고객 대상 봇넷 분석보고서 발표 (0) | 2014.10.22 |
| 美백악관, 칩-PIN 사용하는 행정명령에 서명 (0) | 2014.10.21 |
| 현재 Windows OS의 제로 데이 취약점 'CVE-2014-4114 "첩보 목적의 사이버 공격에 이용됨 (0) | 2014.10.18 |