□ 개요
o OpenSSL에서는 키 교환에서 중간자 공격이 가능한 취약점, SSLv2의 핸드셰이크 전송에서 중간자 공격이 가능한 취약점 등 2개의 취약점을
보완한 보안업데이트를 발표[1]
□ 설명
o TLS 프로토콜의 Diffie-Hellman 키 교환에서 소수 값 처리 중 MITM(man-in-the-middle)공격이 가능한 취약점(CVE-2016-0701)
o SSLv2을 사용할 경우 조작된 핸드셰이크 전송을 통한 MITM(man-in-the-middle)공격이 가능한 취약점(CVE-2015-3197)
□ 해당 시스템
o 영향 받는 제품 및 버전
– OpenSSL 1.0.2 대 버전
– OpenSSL 1.0.1 대 버전
□ 해결 방안
o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]
– OpenSSL 1.0.2 사용자 : 1.0.2f로 업데이트
– OpenSSL 1.0.1 사용자 : 1.0.1r로 업데이트
□ 용어 설명
o Diffie-Hellman 키 교환 : 암호화 되지 않은 통신망에서의 공통의 비밀 키 공유를 위한 알고리즘
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] https://www.openssl.org/news/secadv/20160128.txt
[2] https://www.openssl.org/