Brandon Kang

OpenSSL 취약점 CVE-2015-1788, CVE-2015-1789 관련 안내

Blog Post created by Brandon Kang Employee on Jun 18, 2015

안녕하세요.

6월 11일에 아카마이 포탈상에서 공지드린 OpenSSL 취약점 패치 관련 안내를 드립니다.

 

CVE-2015-1788

이 버그는 변조된 EC(Elliptic Curve) 매개변수를 사용하여, OpenSSL 작동을 무한루프에 빠지게하는 취약점 입니다.

이를 통해 SSL 연결에서 사용되는 Public Key 처리, 인증서 요청 등의 프로세스를 DOS(Denial Of Service)에 빠뜨릴 수 있습니다.

이 취약점은 TLS를 통해 클라이언트 인증을 하는 클라이언트와 서버에 모두 해당 됩니다.

영향을 받는  OpenSSL 버전은 1.0.2, 1.0.1, 1.0.0d, 0.9.8r 버전이며, 최근 발표된 1.0.0, 0.9.8 버전은 해당되지 않습니다.

 

이 취약점은 2015년 4월 6일에 발표되었으며, OpenSSL 개발팀에서 패치가 개발되었습니다.

 

CVE-2015-1789

이 버그는 X509_cmp_time이 ASN1TIME 문자열의 길이를 정확하게 확인하지 않아서 실제보다 몇 바이트를 더 읽는 취약점 입니다.

X509_cmp_time은 결과적으로 실제 문자열 시간보다 좀 더 많은 시간을 읽게됩니다.

공격자는 이 취약점을 통해 변조된 인증서와 CRL(Certificate Revocation List)을 만들어서 이를 사용하는 어플리케이션을 DOS(Denial Of Service) 상태로 만들 수 있습니다.

CRL을 확인하는 TLS 클라이언트가 영향을 받게 됩니다.

 

이 취약점은 현재 발표된 모든 OpenSSL 버전에 해당되며 2015년 4월 8일에 발견되어 4월 11일에 수정이 되었습니다.

 

아카마이의 응대

아카마이는 이미 위 두 개 취약점에 대해 HTTP/HTTPS 서비스 플랫폼에 이를 방지하는 패치를 적용했기에 안전한 상태이며, 취약점으로 인한 다른 영향은 확인된 것이 아직 없습니다.

고객사의 원본 서버가 OpenSSL로 구성되어 있고 이로 인한 패치 작업이나 설정 리뷰등의 요청이 필요하시면 아카마이로 연락 주시기 바랍니다.

 

기본적으로 아래와 같은 패치 작업이 원본 서버에도 필요 합니다.

- OpenSSL 1.0.2 사용자는 1.0.2b 버전으로 업그레이드 해야 합니다.

- OpenSSL 1.0.1 사용자는 1.0.1n 버전으로 업그레이드 해야 합니다.

- OpenSSL 1.0.0d (하위 버전) 사용자는 1.0.0s 버전으로 업그레이드 해야 합니다.

- OpenSSL 0.9.8r (하위 버전) 사용자는 0.9.8zg 버전으로 업그레이드 해야 합니다.

 

자세한 정보는 아래 링크들을 통해 제공되오니 참고 부탁드립니다.

https://blogs.akamai.com/2015/06/openssl-vulnerability-update.html

https://community.akamai.com/docs/DOC-2142

https://www.openssl.org/news/secadv_20150611.txt

 

감사 합니다.

Outcomes