메뉴 닫기

OpenSSL 긴급 보안 업데이트 [ 2016년 3월 ]

 3월 1일(현지시간) 오픈SSL은 SSLv2 규격(Protocol)에 대한 긴급 업데이트 발표되었습니다.
주요 내용은 SSL 취약점을 이용한 신종 공격 방식인 DROWN, CacheBled에 대한 보안 업데이트 등입니다.

– DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)
– CacheBled: 인텔 프로세서의 Cache-bank 충돌로 인한 정보 노출을 이용한 부채널 공격

업데이트 대상이 되는 시스템은 OpenSSL 1.0.2 와 OpenSSL 1.0.1 버전을 사용하는 시스템이며,
각각 다음과 같이 업데이트를 하시면 됩니다.
( 업데이트 된 내용 : SSLv2 프로토콜 비활성화 기본 설정 및 SSLv2 EXPORT 암호화 제거 등 )

– OpenSSL 1.0.2 —> 1.0.2g 로 업데이트
– OpenSSL 1.0.1 —> 1.0.1s 로 업데이트

자세한 사항은 한국 인터넷 진흥원의 보안공지를 참조하시면 됩니다.
[ http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24083 ]

 

해당 버전은  https://www.openssl.org/source/   에서 다운로드 하여 설치하시면 되고,
설치 방법은 다음과 같은 방법으로 간단히 적용하실 수 있습니다. 
( CentOS 6.x 버전에서 yum install 을 통해 OpenSSL이 설치되어 있는경우 )

# openssl version
# wget https://www.openssl.org/source/openssl-1.0.1s.tar.gz
# tar -xvzf openssl-1.0.1s.tar.gz
# cd openssl-1.0.1s
# ./config –prefix=/usr –openssldir=/usr/local/openssl shared                                     
# make
# make installl

# openssl version
   OpenSSL 1.0.1s  1 Mar 2016

 

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다