SSL 취약점 이용한 신종 공격 방식 DROWN, CacheBleed
데일리시큐 긴급보도와 함께 KISA에서도 긴급 보안공지가 발표됐다. 3월 1일(현지시간) 오픈SSL은 SSLv2 규격(Protocol)에 대한 긴급 업데이트가 발표됐다는 것.(관련기사: www.dailysecu.com/news_view.php?article_id=13090)
SSL 취약점을 이용한 신종 공격 방식인 DROWN, CacheBleed에 대한 보안 업데이트 권고내용이다. CacheBleed는 인텔 프로세서의 Cache-bank 충돌로 인한 정보 노출을 이용한 부채널 공격이다.
영향 받는 버전은 OpenSSL 1.0.1s 이전 버전, OpenSSL 1.0.2g 이전 버전, OPenSSL 0.9.8zf 및 이전 버전 등이다. 업데이트가 필요하다.
<취약점 내용>
CVE-2016-0800 높음 SSLv2를 이용한 TLS에 대한 프로토콜 간 공격 DROWN
CVE-2016-0705 낮음 DFB, 발생 빈도 낮음
CVE-2016-0798 낮음 SRP 데이터베이스에서의 메모리 누수
CVE-2016-0797 낮음 널 포인터 역참조 및 힙 커럽션
CVE-2016-0799 낮음 고정 메모리 이슈
CVE-2016-0702 낮음 부채널 공격 CacheBleed
CVE-2016-0703 높음 분할 정복 알고리즘
CVE-2016-0704 보통 Bleichenbacher 공격
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지