■ 개요 취약한 OpenSSL 버전을 사용하는 서버와 클라이언트 사이에서 공격자가 암호화된 데이터를 복호화할 수 있는 취약점, 서비스 거부 취약점 등 7개의 취약점을 보완한 보안업데이트를 발표 ■ 설명 – TLS 프로토콜에서 Diffie-Hellman 키 교환 처리 중 512비트로 다운그레이드 시키는 취약점(CVE-2015-4000) – ECParameters 구조 처리 중 발생하는 서비스 거부 취약점 (CVE-2015-1788) – X509_cmp_time 함수에서 발생하는 서비스 거부 공격 취약점 (CVE-2015-1789) – ASN.1 인코딩 된 PKCS#7 데이터 처리 중 발생하는 Out-of-bounds 읽기 가능 취약점(CVE-2015-1790) – 알 수 없는 해쉬 함수를 사용하는 암호화 메시지 처리 중 발생하는 무한 루프 취약점 (CVE-2015-1792) – NewSessionTicket 처리 중 발생하는 Race condition 취약점 (CVE-2015-1791) – ChangeCipherSpec 메시지와 완료 메시지 사이에 데이터 처리 중 발생하는 Double Free 취약점 (CVE-2014-8176) ■ 해당 시스템 영향 받는 제품 및 버전 – OpenSSL 1.0.2 대 버전 – OpenSSL 1.0.1 대 버전 – OpenSSL 1.0.0 대 버전 – OpenSSL 0.9.8 대 버전 ■ 해결 방안 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트 – OpenSSL 1.0.2 사용자 : 1.0.2b로 업데이트 – OpenSSL 1.0.1 사용자 : 1.0.1n로 업데이트 – OpenSSL 1.0.0 사용자 : 1.0.0s로 업데이트 – OpenSSL 0.9.8 사용자 : 0.9.8zg로 업데이트 …
취약점 분석/평가를 위한 기술적 점검 방법을 313개의 기술적 항목에 대해 점검 및 조치방법에 대해 메뉴얼로 만들어 안전행정부와 한국인터넷 진흥원에서 간행물로 배포하고 있는 문서입니다.벤더사별로 세부적인 명령어와…
안녕하십니까? (주)스마일서브 기술지원팀 입니다. VENOM(Virtualized Environment Neglected Operations Manipulation) 가상화 임의코드 취약점이발견되어 안내드립니다. 1. 개요 Crowdstrike社는 QEMU의 가상머신 플로피 디스크 컨트롤러에서 ‘가상머신을 탈출할 수 있는…
언제 부터 인가 중국에서의 서비스 신청 주문이 한 순간에 없어 졌다. 그래도 중국에서 나름 나쁘지 않은 네트워크 속도를 보장 했는데.. 최대 100미리 세크 이내라 나름…
오늘 아침에 영문으로 작성된 메일을 받았다. 그런데 제목이 `Winning Notification` 이다. 그대로 직역하자면 `승리 알림` 인데, 내가 도대체 어디에서 누굴 이긴 것일까? 매우 궁금했다. 궁금증에…
요즘 DDOS 공격이나 DOS 공격이 많이 줄어들었다. 하지만 공격이 줄어들었다고 하여 공격에 대해 잊어버리지 않아야 하며 공격에 대한 이해와 인지는 하고 있어야 한다는 …
1년이상 로그인을 안했거나 사용하지 않은 아이디에 대해서는 파기전에 사용자에게 알린이후 시간이 경과후 개인정보를 파기해야 한다. 아래와 같이 메일 공지를 하는 경우 해당 기업의 신뢰도를 높일수 있으며…