OpenSSL 신규 취약점 보안 업데이트 발표

OpenSSL에서 신규 취약점을 해결한 보안 업데이트가 발표되었습니다.

해당 취약점은 2016년 09월 23일 제공된 보안업데이트의 버전에서 영향을 받으므로,

서비스 담당자께서는 해당 여부를 확인하시고 업데이트하시길 권고 드립니다.

 

-----------------------------------------------------------------------------

 

□ 개요

 o OpenSSL에서 임의코드 실행 및 서비스거부 공격이 가능한 취약점을 해결한 보안업데이트를 발표[1]

  - 해당 취약점은 OpenSSL에서 2016년 9월 22일(현지시간)에 제공 된 업데이트 버전에서 발생

 

□ 설명

 o 원격에서 특수하게 조작 된 TLS 메시지를 전송할 경우 발생하는 Use After Free 취약점(CVE-2016-6309)

 o CRL 기능에서 발생하는 NULL 포인터 역참조 취약점(CVE-2016-7052)

 

□ 해당 시스템

 o 영향을 받는 제품

  - OpenSSL 1.1.0a (CVE-2016-6309)

  - OpenSSL 1.0.2i (CVE-2016-7052)

 

□ 해결 방안

 o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]

  - OpenSSL 1.1.0a 사용자 : 1.1.0b로 업데이트

  - OpenSSL 1.0.2i 사용자 : 1.0.2j로 업데이트

 

[참고사이트]

[1] https://www.openssl.org/news/secadv/20160926.txt

[2] https://www.openssl.org/source/

 

이상입니다.