OpenSSL version 1.1.0c has been released to address vulnerabilities in prior versions. Exploitation of some of these vulnerabilities may allow a remote attacker to cause a denial-of-service condition.
Users and administrators are encouraged to review the OpenSSL Security Advisory and apply the necessary update.
https://www.openssl.org/news/secadv/20161110.txt
o OpenSSL에서 발생한 힙 오버플로우 취약점, Null 포인터 역참조 취약점 등 총 3개의 취약점을 보완한 보안 업데이트를 발표함 [1]
□ 설명
o OpenSSL의 ASN.1 CHOICE 데이터를 조작 가능한 Null 포인터 역참조 취약점(CVE-2016-7053)
o TLS 연결 시 사용하는 CHACHA20/Poly1305 암호화 방식에서 서비스 거부가 발생할 수 있는 힙 오버플로우 취약점
(CVE-2016-7054)
o Montgomery Multiplication 알고리즘의 입력 값이 256bit보다 많을 시 잘못된 결과 값을 리턴할 수 있는 취약점
(CVE-2016-7055)
□ 해당 시스템
o 영향을 받는 제품 및 버전
- OpenSSL 1.1.0b 이하 버전
□ 해결 방안
o OpenSSL 1.1.0b 이하 버전 사용자는 1.1.0c 버전으로 업데이트 [2]
□ 용어 정리
o Null 포인터 역참조 취약점 : Null 포인터에 어떠한 값을 대입하려고 할 때 발생하는 취약점
o Montgomery Multiplication 알고리즘 : RSA 암호시스템에서 요구되는 모듈러 곱셈 구현을 효율적으로 하기 위한 알고리즘
[참고사이트]
[1] https://www.openssl.org/news/secadv/20161110.txt
[2] https://www.openssl.org/source/
'취약점 정보2' 카테고리의 다른 글
| "Red Hat Enterprise Linux 4 및 5 '가 2017 년 3 월 31 일 동시 지원 종료 (0) | 2016.11.20 |
|---|---|
| VMware 보안 업데이트 권고 (0) | 2016.11.16 |
| Adobe Flash Player 신규 취약점 보안 업데이트 권고 (0) | 2016.11.09 |
| MS 11월 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2016.11.09 |
| 홈페이지 개발도구 보안 업데이트 권고 (0) | 2016.11.04 |