English

◀◁ 뒤로 취약점ID 22386 위험도 30 포트 80, ... 프로토콜 TCP 분류 SSL 상세설명 해당 SSL 서버는 SSLv2를 이용한 암호화된 접속들을 수용한다. SSL (Secure Sockets Layer)은 인터넷 상에서 클라이언트와 서버 간에 암호화된 통신을 제공하는 데 보편적으로 사용되는 프로토콜이다. 보고에 따르면 SSLv2 프로토콜은 다수의 암호 기법 상의 결함들을 가지고 있다. 공격자는 이 결함들을 도용하여 man-in-the-middle 공격들을 수행하거나 암호화된 통신들을 읽어 내거나 악의적으로 메시지들을 조작할 수 있다. * 참고 사이트: http://www.schneier.com/paper-ssl.pdf * 영향을 받는 플랫폼: 모든 운영체제 모든 버전 해결책 SSL 2.0을 사용 중지하고 대신 SSL 3.0 혹은 TLS 1.0을 사용함으로써, 이 취약점과 관련한 위험의 발생 가능성을 제거한다. Sun Java (Netscape Enterprise) Web Server와 Application Server의 경우: 다음 Sun Alert ID: 57632를 참조하여 관리 서버를 통해 SSLv2를 사용 중지시킨다: http://download.oracle.com/sunalerts/1001203.1.html Apache 웹 서버의 경우: 전형적으로 Apache/mod_ssl, httpd.conf 혹은 ssl.conf 파일들이 다음 라인들을 가지도록 한다: SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM Microsoft IIS의 경우: IIS가 SSL 2.0 프로토콜을 이용하여 통신하지 않도록 SSL 2.0 프로토콜을 사용 중지시키기 위해서는 다음 단계를 따른다: 1. "시작"을 클릭하고 "실행"을 클릭한 다음, regedt32 혹은 regedit를 타이핑한 후 "확인"을 타이핑한다. 2. 레지스트리 편집기에서 다음 레지스트리 키로 이동한다: HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server 3. 편집 메뉴에서 "값 추가"를 클릭한다. 4. "데이터 형식" 목록에서 DWORD를 클릭한다. 5. "값 이름" 박스에 "Enabled"를 타이핑하고 "확인"을 클릭한다. 6. 새로운 키의 값을 "0"으로 설정하기 위해 이진 편집기에 00000000을 타이핑한다. 7. "확인"을 클릭하고 컴퓨터를 재시작한다. 기타: 해당 제조업체에 문의하여 업그레이드나 패치 정보에 대해 알아본다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)