본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

‘FREAK’ SSL 취약점 주의 권고

보안공지 2015-03-04























해당제품Openssl 0.9.8 대 0.9.8zd 이전 버전
Openssl 1.0.0 대 1.0.0p 이전 버전
Openssl 1.0.1 대 1.0.1k 이전 버전
작성 일자2015-03-04
취약점 요약정보프랑스 국립 연구소(INRIA) 및 MS社에서는 SSL을 통해 강제로 취약한 RSA로 다운 그레이드 시킬 수 있는 취약점을 발견함
취약점 상세정보CVE-2015-0204 : OpenSSL s3_clnt.c의 ssl3_get_key exchange 함수에서 발생하는 취약점으로 공격자가 MITM(Man In The Middle Attack)을 통해 512비트 RSA로 다운 그레이드시켜 정보를 유출시킬 수 있는 취약점
해결방법
(서버 운영자) 해당 취약점에 영향 받는 버전 사용자는 OpenSSL 1.0.2 버전으로 업그레이드


(일반 사용자) 사파리 및 안드로이드의 기본 브라우저 사용자는 취약점이 해결될 때 까지 크롬, 파이어폭스 등 타 브라우저 사용


※ Apple, Google社에서 현재 패치 개발 중이며, 곧 패치가 나올 예정  → KISA는 확인하는 데로 수정 공고 예정


[참고사이트]