English

◀◁ 뒤로 취약점ID 22122 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 OpenSSL에는 integer의 ASCII 표현과 관련된 버퍼 오버플로우 취약점이 존재한다. SSL(Secure Sockets Layer)과 TLS(Transport Layer Security) 프로토콜은 HTTP 와 같은 상위 레벨의 프로토콜을 위해 클라이언트/서버 간의 안전한 연결을 제공해 주는데 사용되는 프로토콜이다. OpenSSL은 SSL와 TLS 프로토콜을 구현한 오픈 소스 프로그램으로 많은 리눅스 배포판에 포함되어 있다. OpenSSL의 버전 0.9.6d 와 0.9.7-beta2 이하 버전, 그리고 현재 개발 중인 0.9.7 스냅샷(snampshot) 들에는 버퍼 오버플로우 취약점이 존재한다. 이 취약점은 64비트 플랫폼에서 integer를 ASCII로 표현하는 과정에서의 불충분한 경계체크로 인하여 발생한다. 원격지의 공격자들은 OpenSSL 서버에 매우 큰 ASCII 정수(integer) 값을 보냄으로써 버퍼 오버플로우 발생시킬 수 있으며, 취약한 서비스, 어플리케이션 및 클라이언트 권한으로 임의의 코드를 실행할 수 있다. 또한, 시스템을 크래쉬 시킬 수도 있다. * 취약한 버전들 : OpenSSL 0.9.6d 이하 버전 OpenSSL 0.9.7-b2 이하 버전 * 알림 : 이 취약점 점검 항목은 OpenSSL의 버전 정보를 통해 체크된다. * 참고 사이트: http://online.securityfocus.com/bid/5364 http://www.cert.org/advisories/CA-2002-23.html 해결책 OpenSSL 버전 0.9.6e 또는 0.9.7beta3 버전 이상의 최신 버전으로 업그레이드 해야 한다. -- 또는 -- 제품 벤더가 제공하는 적절한 패치를 설치해야 한다. * OpenSSL 0.9.6d : http://www.openssl.org/news/patch_20020730_0_9_6d.txt * OpenSSL 0.9.7 beta2 : http://www.openssl.org/news/patch_20020730_0_9_7.txt 관련 URL CVE-2002-0655 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)