개요 - 11월 1일 오픈SSL 프로젝트가 새로운 버전(3.0.7) 발표 예정
- 현재의 버전에서 취약점이 발견되었기 때문
내용 - 아직 취약점의 내용이 공개되지는 않았지만 하트블리드(Heartbleed) 이후 두 번째로 발견되는 초고위험도 취약점
- 하트블리드 취약점(CVE-2014-0160)의 경우, 익스플로잇에 성공한 공격자는 피해자의 인터넷 통신 내용을 가로채고 도청이 가능하게 됨
- 2012년 3월에 나온 오픈SSL에서부터 2014년 하트블리드 발견 당시의 버전까지 전부 이 취약점의 영향을 받고 있었고, 이미 하트블리드가 있는 오픈SSL이 사용된 사례는 셀 수 없이 많아 파급력이 높았음
- 이번에 패치된 취약점의 영향도는 정확하지 않으나, 일각에서는 제2의 하트블리드 사태가 될 것이라고 예상
- 오픈SSL 프로젝트는 취약점이 익스플로잇 되었을 때 큰 피해를 안길 가능성이 높고 공략 난이도가 낮으며, 원격 공격을 가능하게 하는 취약점들만 위험군으로 분류
대비 - 지금 어떤 시스템과 소프트웨어 등에서 오픈SSL 3.0이 사용되고 있는지 알아내는 것이 선행되어야 함
- 안전한 인터넷 통신이 필요한 모든 요소들에는 오픈SSL이 있을 것이라고 예상하고 찾아야 함
- 소프트웨어만이 아니라 하드웨어들도 잘 살펴야 할 필요
- 즉, 업데이트가 예정된 11/01까지 사용중인 취약한 오픈SSL 구성 요소를 모조리 찾아 가시성 확보가 필요

 

- 보안뉴스

 

11월 1일로 패치가 예고된 오픈SSL 취약점, 어쩌면 제2의 하트블리드

오픈SSL 프로젝트(OpenSSL Project) 측에서 예고한 중요한 패치 일자가 일주일도 남지 않았다. 오픈SSL 3.0 및 후속 버전을 사용하고 있는 모든 조직들이 지금이라도 달력에 표시를 해야 할 만큼 중요한

www.boannews.com

+ Recent posts