3. OS이야기/ 01. Administration

Openssl 업데이트 버젼업 및 Changlog 확인

OSSW(Open Source System SoftWare 2014. 6. 30. 09:23

오픈SSL은 2014년 6월 5일(미국시간), 웹브라우저와 서버 간의 통신을 암호화하는 오픈소스 라이브러리인 오픈SSL(OpenSSL)에 존재하는 취약점에 관한 6개의 보안 업데이트를 공개했습니다.

보안 업데이트를 통해 아래의 취약점을 해결할 수 있습니다.

  • - SSL/TLS MITM vulnerability (CVE-2014-0224)
  • - DTLS recursion flaw (CVE-2014-0221)
  • - DTLS invalid fragment vulnerability (CVE-2014-0195)
  • - SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
  • - SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
  • - Anonymous ECDH denial of service (CVE-2014-3470)

SSL/TLS에 존재하는 취약점을 이용한 중간자(man-in-the-middle) 공격이 행해지면 공격자는 취약점을 갖고 있는 모든 클라이언트와 서버의 트래픽을 원격에서 변경할 수 있으며,  이 취약점을 이용한 공격을 성공시키려면 클라이언트와 서버 둘다 취약점을 갖고 있어야 합니다. 

앞서 적용된 취약점인 하트블리드(Heartbleed) 취약점만큼 많이 심각하지는 않습니다. 


취약점에 영향을 받는 오픈SSL 서버 버전은 1.0.1과 1.0.2-beta1입니다. 1.0.1 이전 버전의 서버는 아래 버전으로 업데이트할 것을 권장합니다.

  • - 오픈SSL 0.9.8 SSL/TLS 사용자 : 0.9.8za 버전으로 업데이트
  • - 오픈SSL 1.0.0 SSL/TLS 사용자 : 1.0.0m 버전으로 업데이트
  • - 오픈SSL 1.0.1 SSL/TLS 사용자 : 1.0.1h 버전으로 업데이트


- RedHat 계열 적용시 6.x 버전은 yum으로 업데이트시에 최종 버전은 1.0.1e-16 업데이트 됩니다. 

- RehHat 계열 적용시 5.x 버전은 yum으로 업데이트시에 최종 버전은 0.9.8e-27 업데이트 됩니다.


=== 적용 후 결과 === 

0.9.8e-27 업데이트

* Wed Jun 04 2014 Tomas Mraz <tmraz@redhat.com> 0.9.8e-27.3

- fix for CVE-2014-0224 - SSL/TLS MITM vulnerability

 

* Wed Jan 29 2014 Tomas Mraz <tmraz@redhat.com> 0.9.8e-27.1

- replace expired GlobalSign Root CA certificate in ca-bundle.crt

 

1.0.0 버전 update 1.0.1e 버전으로 업데이트

[root@ermsWebDev ~]# rpm -q -changelog openssl | more

* Mon Jun 02 2014 Tom찼큄 Mrz <tmraz@redhat.com> 1.0.1e-16.14

- fix CVE-2010-5298 - possible use of memory after free

- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment

- fix CVE-2014-0198 - possible NULL pointer dereference

- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet

- fix CVE-2014-0224 - SSL/TLS MITM vulnerability

- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH

 

by 조경래