■ 개요 취약한 OpenSSL 버전을 사용하는 서버와 클라이언트 사이에서 공격자가 암호화된 데이터를 복호화할 수 있는 취약점, 서비스 거부 취약점 등 7개의 취약점을 보완한 보안업데이트를 발표 ■ 설명 – TLS 프로토콜에서 Diffie-Hellman 키 교환 처리 중 512비트로 다운그레이드 시키는 취약점(CVE-2015-4000) – ECParameters 구조 처리 중 발생하는 서비스 거부 취약점 (CVE-2015-1788) – X509_cmp_time 함수에서 발생하는 서비스 거부 공격 취약점 (CVE-2015-1789) – ASN.1 인코딩 된 PKCS#7 데이터 처리 중 발생하는 Out-of-bounds 읽기 가능 취약점(CVE-2015-1790) – 알 수 없는 해쉬 함수를 사용하는 암호화 메시지 처리 중 발생하는 무한 루프 취약점 (CVE-2015-1792) – NewSessionTicket 처리 중 발생하는 Race condition 취약점 (CVE-2015-1791) – ChangeCipherSpec 메시지와 완료 메시지 사이에 데이터 처리 중 발생하는 Double Free 취약점 (CVE-2014-8176) ■ 해당 시스템 영향 받는 제품 및 버전 – OpenSSL 1.0.2 대 버전 – OpenSSL 1.0.1 대 버전 – OpenSSL 1.0.0 대 버전 – OpenSSL 0.9.8 대 버전 ■ 해결 방안 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트 – OpenSSL 1.0.2 사용자 : 1.0.2b로 업데이트 – OpenSSL 1.0.1 사용자 : 1.0.1n로 업데이트 – OpenSSL 1.0.0 사용자 : 1.0.0s로 업데이트 – OpenSSL 0.9.8 사용자 : 0.9.8zg로 업데이트 …
안녕하십니까? (주)스마일서브 기술지원팀 입니다. VENOM(Virtualized Environment Neglected Operations Manipulation) 가상화 임의코드 취약점이발견되어 안내드립니다. 1. 개요 Crowdstrike社는 QEMU의 가상머신 플로피 디스크 컨트롤러에서 ‘가상머신을 탈출할 수 있는…
안녕하십니까? (주)스마일서브 기술지원팀 입니다. 2015년 4월 15일, MS社에서 보안업데이트 11종을 발표하였으며,그 중 [MS15-034] 원격코드 실행 취약점이 파급도가 높은 것으로 확인되어 안내하여 드립니다. □ 4월 보안업데이트 개요(총 11종) 발표일 : 2015. 04. 15 (수) 등급 : 긴급(Critical) 4종, 중요(Important) 7종 업데이트 내용 ※ 참고 URL – 확인 및 대응 : 인터넷 침해대응센터 보안공지 [polldaddy rating=”7739789″]
데이터를 암호화해 전송하는 OpenSSL에서 하트블리드(Heartbleed)급 취약점이 또 발견되었습니다. 작년 2014년 보안 이슈가 되었던 OpenSSL 하트블리드(Heartbleed) 버그에 대해 모두 확인하셨을거라 생각합니다. 올해 또한 동일수준의 취약점이 발생하여…
– 클라우드 컴퓨팅은 전달하는 서비스 형태가 어떤 것이냐에 따라 SaaS, PaaS, IaaS로 분류합니다. – SaaS (Software as a Service) 일반사용자를 위한 클라우드 기반의 소프트웨러를 의미합니다. 소프트웨어를 설치하는 것이 아니라 서비스 형태로 제공하는 것입니다. – PaaS (Platform as a Service) 어플리케이션이나 서비스가 실행되는 환경을 제공하는 것입니다. SaaS의 개념을 개발 플랫폼에 확장한 방식으로 볼 수 있습니다. – IaaS (Infrastructure as a Service) 서버, 스토리지, 데이터 베이스 등과 같은 시스템이나 서비스를 구축하는데 필요한 IT 자원을 서비스 형태로 제공하는 것입니다. 서버 기반의 호스팅이 클라우드 기반으로 제공되는 형태로 생각하면 됩니다. – IaaS, PaaS, SaaS 구분표 [polldaddy rating=”7739789″]