| 개요 | - 11월 1일 오픈SSL 프로젝트가 새로운 버전(3.0.7) 발표 예정 - 현재의 버전에서 취약점이 발견되었기 때문 |
| 내용 | - 아직 취약점의 내용이 공개되지는 않았지만 하트블리드(Heartbleed) 이후 두 번째로 발견되는 초고위험도 취약점 - 하트블리드 취약점(CVE-2014-0160)의 경우, 익스플로잇에 성공한 공격자는 피해자의 인터넷 통신 내용을 가로채고 도청이 가능하게 됨 - 2012년 3월에 나온 오픈SSL에서부터 2014년 하트블리드 발견 당시의 버전까지 전부 이 취약점의 영향을 받고 있었고, 이미 하트블리드가 있는 오픈SSL이 사용된 사례는 셀 수 없이 많아 파급력이 높았음 - 이번에 패치된 취약점의 영향도는 정확하지 않으나, 일각에서는 제2의 하트블리드 사태가 될 것이라고 예상 - 오픈SSL 프로젝트는 취약점이 익스플로잇 되었을 때 큰 피해를 안길 가능성이 높고 공략 난이도가 낮으며, 원격 공격을 가능하게 하는 취약점들만 위험군으로 분류 |
| 대비 | - 지금 어떤 시스템과 소프트웨어 등에서 오픈SSL 3.0이 사용되고 있는지 알아내는 것이 선행되어야 함 - 안전한 인터넷 통신이 필요한 모든 요소들에는 오픈SSL이 있을 것이라고 예상하고 찾아야 함 - 소프트웨어만이 아니라 하드웨어들도 잘 살펴야 할 필요 - 즉, 업데이트가 예정된 11/01까지 사용중인 취약한 오픈SSL 구성 요소를 모조리 찾아 가시성 확보가 필요 |
- 보안뉴스
11월 1일로 패치가 예고된 오픈SSL 취약점, 어쩌면 제2의 하트블리드
오픈SSL 프로젝트(OpenSSL Project) 측에서 예고한 중요한 패치 일자가 일주일도 남지 않았다. 오픈SSL 3.0 및 후속 버전을 사용하고 있는 모든 조직들이 지금이라도 달력에 표시를 해야 할 만큼 중요한
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| 美 국가안보국, C/C++ 대신 러스트·고·C# 사용 권고 (0) | 2022.11.13 |
|---|---|
| 매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포 (1) | 2022.11.08 |
| 랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼 (0) | 2022.09.26 |
| 페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과 (0) | 2022.09.18 |
| 무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’ (0) | 2022.09.18 |