OpenSSL에서 신규 취약점을 해결한 보안 업데이트가 발표되었습니다.
해당 취약점은 2016년 09월 23일 제공된 보안업데이트의 버전에서 영향을 받으므로,
서비스 담당자께서는 해당 여부를 확인하시고 업데이트하시길 권고 드립니다.
-----------------------------------------------------------------------------
□ 개요
o OpenSSL에서 임의코드 실행 및 서비스거부 공격이 가능한 취약점을 해결한 보안업데이트를 발표[1]
- 해당 취약점은 OpenSSL에서 2016년 9월 22일(현지시간)에 제공 된 업데이트 버전에서 발생
□ 설명
o 원격에서 특수하게 조작 된 TLS 메시지를 전송할 경우 발생하는 Use After Free 취약점(CVE-2016-6309)
o CRL 기능에서 발생하는 NULL 포인터 역참조 취약점(CVE-2016-7052)
□ 해당 시스템
o 영향을 받는 제품
- OpenSSL 1.1.0a (CVE-2016-6309)
- OpenSSL 1.0.2i (CVE-2016-7052)
□ 해결 방안
o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]
- OpenSSL 1.1.0a 사용자 : 1.1.0b로 업데이트
- OpenSSL 1.0.2i 사용자 : 1.0.2j로 업데이트
[참고사이트]
[1] https://www.openssl.org/news/secadv/20160926.txt
[2] https://www.openssl.org/source/
이상입니다.
'Secure > 보안공지' 카테고리의 다른 글
| WannaCry(워너크라이) 랜섬웨어 대응 방법 안내 (0) | 2017.05.15 |
|---|---|
| MySQL 신규 취약점 업데이트 발표 (0) | 2016.10.11 |
| OpenSSL의 신규 취약점에 대한 긴급 보안업데이트 발표 (0) | 2016.03.10 |
| SSL 보안인증서 COMODO SHA1 적용 사이트 접속 불가 이슈 (0) | 2015.12.18 |
| 리눅스 Ghost 취약점 보안 업데이트 권고 (CVE-2015-0245) (0) | 2015.01.29 |
