김 찬석 3월 1일(현지시간) 오픈SSL은 SSLv2 규격(Protocol)에 대한 긴급 업데이트 발표되었습니다.
주요 내용은 SSL 취약점을 이용한 신종 공격 방식인 DROWN, CacheBled에 대한 보안 업데이트 등입니다.
– DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)
– CacheBled: 인텔 프로세서의 Cache-bank 충돌로 인한 정보 노출을 이용한 부채널 공격
업데이트 대상이 되는 시스템은 OpenSSL 1.0.2 와 OpenSSL 1.0.1 버전을 사용하는 시스템이며,
각각 다음과 같이 업데이트를 하시면 됩니다.
( 업데이트 된 내용 : SSLv2 프로토콜 비활성화 기본 설정 및 SSLv2 EXPORT 암호화 제거 등 )
– OpenSSL 1.0.2 —> 1.0.2g 로 업데이트
– OpenSSL 1.0.1 —> 1.0.1s 로 업데이트
자세한 사항은 한국 인터넷 진흥원의 보안공지를 참조하시면 됩니다.
[ http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24083 ]
해당 버전은 https://www.openssl.org/source/ 에서 다운로드 하여 설치하시면 되고,
설치 방법은 다음과 같은 방법으로 간단히 적용하실 수 있습니다.
( CentOS 6.x 버전에서 yum install 을 통해 OpenSSL이 설치되어 있는경우 )
|
# openssl version # openssl version |