SECURITY NEWS
| [보안뉴스] 오픈SSL에서 고위험군에 속하는 디도스 취약점 발견돼 | ||
|---|---|---|
|
||
|
2020년 오픈SSL에서 발견된 첫 고위험군 취약점...CVE-2020-1967 GCC 정적 코드 분석기 사용해 처음 발견돼...1.1.1g 버전 사용하면 안전[보안뉴스 문가용 기자] 오픈SSL(OpenSSL)의 업데이트가 발표됐다. 이를 통해 고위험군에 속하는 취약점 한 개가 패치됐다. 익스플로잇 될 경우 디도스 공격을 가능케 해주는 취약점이었다.  [이미지 = iclickart] 오픈SSL을 관리하는 ‘오픈SSL 프로젝트(OpenSSL Project)’ 측에서는 문제의 취약점을 CVE-2020-1967로 지정했고, SSL_check_chain 함수에 있는 ‘세그멘테이션 오류(segmentation fault)’라고 밝혔다. 오픈SSL 프로젝트가 발표한 권고문(https://www.openssl.org/news/secadv/20200421.txt)에 따르면 “TLS 1.3 핸드셰이크가 발생하는 와중이나 이후에 SSL_check_chain() 함수를 호출하는 서버나 클라이언트 애플리케이션들은 NULL 포인터 역참조로 인해 작동이 중단될 수 있다”고 하며, 이는 “signature_algoriths_cert라는 TLS 엑스텐션을 잘못 처리하기 때문에 발생하는 일”이라고 한다. 또한 “부적절하거나 인식 불가능한 시그니처 알고리즘이 피어 네트워크로부터 전송될 경우 작동 중단 현상이 발동한다”며 “피어 네트워크에 연결된 악성 행위자가 이 부분을 악용함으로써 사실상의 디도스 공격을 유발하는 게 가능하다”고 설명했다. 취약점이 발견된 오픈SSL 버전은 1.1.1d, 1.1.1e, 1.1.1f인 것으로 알려져 있다. 패치가 적용되어 문제가 모두 해결된 버전은 1.1.1g라고 한다. 더 이상 업데이트가 되지 않는 버전인 1.0.2와 1.1.0의 경우, 다행히 위 오류가 발견되지 않고 있다. 취약점을 제일 먼저 발견한 건 보안 전문가 번드 에들링어(Bernd Edlinger)라고 한다. 그는 지난 4월 7일 오픈SSL 프로젝트 측에 이를 알렸다. 에들링어는 최근 도입된 GNU 컴파일러 컬렉션(GNU Compiler Collection) 정적 코드 분석기를 통해 취약점을 발견했다고 한다. GNU 컴파일러 컬렉션에 대한 상세 내용은 여기(https://www.phoronix.com/scan.php?page=news_item&px=GCC-10-Static-Analyzer)서 열람이 가능하다. 이번에 진행된 패치는 2020년 들어 오픈SSL에서 처음으로 진행한 것이다. 3줄 요약 1. 오픈SSL에서 디도스 가능하게 해주는 취약점 발견됨. 2. SSL_check_chain라는 함수에서 발견된 세그멘테이션 오류임. 3. 사용자들은 1.1.1g 버전으로 업데이트 해야 취약점에서 안전해짐.[출처 : 보안뉴스(https://www.boannews.com/default.asp), (https://www.boannews.com/media/view.asp?idx=87739&page=1&mkind=1&kind=1)] |
||
| 이전글 | [보안뉴스] 교묘한 오버레이 공격 시도하는 안드로이드 뱅킹 멀웨어 발견돼 | |
| 다음글 | [보안뉴스] MS의 긴급 보안 권고문을 통해 드러난 현 개발 방식의 취약점 | |
