2021-10-18 20:50 (월)
DROWN과 CacheBleed 공격에 대한 긴급 대응 필요해
상태바
DROWN과 CacheBleed 공격에 대한 긴급 대응 필요해
  • 길민권
  • 승인 2016.03.04 02:53
이 기사를 공유합니다

SSL 취약점 이용한 신종 공격 방식 DROWN, CacheBleed
데일리시큐 긴급보도와 함께 KISA에서도 긴급 보안공지가 발표됐다. 3월 1일(현지시간) 오픈SSL은 SSLv2 규격(Protocol)에 대한 긴급 업데이트가 발표됐다는 것.
(관련기사: www.dailysecu.com/news_view.php?article_id=13090)
 
SSL 취약점을 이용한 신종 공격 방식인 DROWN, CacheBleed에 대한 보안 업데이트 권고내용이다. CacheBleed는 인텔 프로세서의 Cache-bank 충돌로 인한 정보 노출을 이용한 부채널 공격이다.
 
영향 받는 버전은 OpenSSL 1.0.1s 이전 버전, OpenSSL 1.0.2g 이전 버전, OPenSSL 0.9.8zf 및 이전 버전 등이다. 업데이트가 필요하다.
 
<취약점 내용>
CVE-2016-0800 높음 SSLv2를 이용한 TLS에 대한 프로토콜 간 공격 DROWN
CVE-2016-0705 낮음 DFB, 발생 빈도 낮음  
CVE-2016-0798 낮음 SRP 데이터베이스에서의 메모리 누수  
CVE-2016-0797 낮음 널 포인터 역참조 및 힙 커럽션  
CVE-2016-0799 낮음 고정 메모리 이슈  
CVE-2016-0702 낮음 부채널 공격 CacheBleed
CVE-2016-0703 높음 분할 정복 알고리즘  
CVE-2016-0704 보통 Bleichenbacher 공격  
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com