OpenSSL CVE-2015-1793 보안취약점 관련 안내 드립니다.

Document created by Hyundo Kim Employee on Jul 10, 2015
Version 1Show Document
  • View in full screen mode

안녕하세요.

 

 

2015년 7월 9일 OpenSSL에서 발표한 OpenSSL 1.0.1n, 1.0.2d 두개의 버전에서 발견된 보안취약점에 대해 공지 드립니다. 수정된 버전은 각각 1.0.1p와 1.0.2d입니다.

 

아카마이는 이 취약점에 영향을 받지 않지만 자사의 인프라에 해당 버전의 OpenSSL을 사용하는 경우 보안팀과 함께 위험도를 판단하고 필요한 조치를 취하시기를 권고드립니다.

 

OpenSSL에서 발표한 간략한 내용은 아래와 같습니다.

 

인증서 검증의 첫번째 절차에서 Certificate Chain 확인이 실패하면 대체재로 사용될 인증서를 찾게 됩니다.

이 단계에서 구현된 로직의 에러로 인해 외부공격자는 Untrusted Certificate로 우회하여 유효한 Leaf certificate으로 사용하게 만들 수 있습니다.

이 이슈는 SSL/TLS/DTLS 클라이언트와 SSL/TLS/DTLS서버를 포함하여 인증서를 검증하는 모든 어플리케이션에 영향을 줍니다.

 

참고 자료

OpenSSL발표 전문

Akamai 커뮤니티 & 블로그

Attachments

    Outcomes