English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 22665
À§Çèµµ 30
Æ÷Æ® 80, ...
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù WWW
»ó¼¼¼³¸í ¹è³ÊÁ¤º¸¿¡ µû¸£¸é ¿ø°ÝÀÇ À¥ ¼­¹ö¿¡´Â 1.0.2a ÀÌÀüÀÇ OpenSSL ¹öÀüÀÌ ½ÇÇàµÇ°í ÀÖ´Ù. ÇØ´ç ¹öÀüÀº ´ÙÁß Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù.

- d1_lib.c ÆÄÀÏÀÇ dtls1_listen ÇÔ¼ö¿¡¼­ µ¶¸³ µ¥ÀÌÅÍ ½ºÆ®¸²ÀÇ »óÅ Á¤º¸¸¦ ¿Ã¹Ù¸£°Ô °¡Á®¿ÀÁö ¸øÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ DTLS Æ®·¡ÇÈÀ» ÅëÇØ ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2015-0207)

- rsa_ameth.c ÆÄÀÏÀÇ rsa_item_verify ÇÔ¼ö¿¡¼­ ASN.1 ½Ã±×´Ïó °ËÁõÀ» ¿Ã¹Ù¸£°Ô ¼öÇàÇÏÁö ¸øÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â RSA PSS ¾Ë°í¸®Áò°ú ºÎÀûÀýÇÑ ÆĶó¹ÌÅ͸¦ »ç¿ëÇÏ´Â ASN.1 ½Ã±×´Ïó¸¦ »ç¿ëÇÏ¿© ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2015-0208)

- ec_asn1.c ÆÄÀÏÀÇ d2i_ECPrivateKey ÇÔ¼ö¿¡ Use-after-free ¿¡·¯°¡ Á¸ÀçÇÏ¿© ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0209)

- s3_clnt.c ÆÄÀÏÀÇ ssl3_client_hello ÇÔ¼ö¿¡¼­ Çڵ彦ÀÌÅ© ÁøÇà Àü PRNGÀÇ ½Ãµå¸¦ ¿Ã¹Ù¸£°Ô °ËÁõÇÏÁö ¸øÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â µ¥ÀÌÅÍ°¡ ¾Ïȣȭ º¸È£µÇ´Â °ÍÀ» ¿ìȸÇÏ¿© Áß¿äÇÑ µ¥ÀÌÅ͸¦ ȹµæÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0285)

- a_type.c ÆÄÀÏÀÇ ASN1_TYPE_cmp ÇÔ¼ö¿¡¼­ BOOLÇü ºñ±³¸¦ ¿Ã¹Ù¸£°Ô ¼öÇàÇÏÁö ¾Ê¾Æ ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0286)

- tasn_dec.c ÆÄÀÏÀÇ ASN1_item_ex_d2i ÇÔ¼ö¿¡¼­ CHOICE¿Í ADB µ¥ÀÌÅÍ ±¸Á¶¸¦ ´Ù½Ã ÃʱâÈ­ ÇÏÁö ¾Ê¾Æ ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0287)

- x509_req.c ÆÄÀÏÀÇ X509_to_X509_REQ ÇÔ¼ö¿¡¼­ ÀÎÁõÅ°¸¦ ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇØ ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0288)

- PKCS#7 ÆÄ½Ì ½Ã ¿ÜºÎ ÄÜÅÙÃ÷ Á¤º¸°¡ ºüÁ®ÀÖ´Â °æ¿ì¸¦ ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇØ ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0289)

- s3_pkt.c ÆÄÀÏÀÇ ssl3_write_bytes ÇÔ¼ö¿¡ ÀÖ´Â multi-block ±â´É¿¡¼­ ƯÁ¤ non-blocking I/O ÄÉÀ̽º¸¦ ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¿¬°á ½ÇÆÐ ¶Ç´Â ¼¼±×¸ÕÅ×ÀÌ¼Ç ½ÇÆи¦ À¯¹ßÇÏ¿© ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2015-0290)

- t1_lib.c ÆÄÀÏÀÇ ½Ã±×³Î ½ÇÇà ½Ã NULL Æ÷ÀÎÅ͸¦ ¿ªÂüÁ¶ÇÏ´Â ¿¡·¯°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ÀçÇù»ó ½Ã ClientHello ¸Þ½ÃÁöÀÇ ºÎÀûÀýÇÑ signature_algorithms È®ÀåÀ» ÀÌ¿ëÇÏ¿© ¼­ºñ½º °ÅºÎ¸¦ ¹ß»ý½Ãų ¼ö ÀÖ´Ù. (CVE-2015-0291)

- CLIENT-MASTER-KEY ¸Þ½ÃÁö¸¦ ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇÏ¿© SSLv2 ½ÇÇà ½Ã ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. (CVE-2015-0293)

- s3_srvr.c ÆÄÀÏÀÇ ssl3_get_client_key_exchange ÇÔ¼ö¿¡¼­ Ŭ¶óÀ̾ðÆ® ÀÎÁõ°ú ´Ü±âÀÇ Diffie-Hellman ¾Ïȣü°è »ç¿ëÀÌ °¡´ÉÇϵµ·Ï ¼³Á¤µÇ¾úÀ» ¶§ ¼­ºñ½º °ÅºÎ°¡ ¹ß»ýµÉ ¼ö ÀÖ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ±æÀÌ°¡ 0ÀÎ ClientKeyExchange ¸Þ½ÃÁö¸¦ ÅëÇØ ÇØ´ç Ãë¾àÁ¡À» ÀÌ¿ëÇÒ ¼ö ÀÖ´Ù. (CVE-2015-1787)

* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç ¼­¹öÀÇ ¹öÀü Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼­ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.

* Âü°í »çÀÌÆ®:
https://www.openssl.org/news/secadv_20150319.txt

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
1.0.2a ÀÌÀüÀÇ OpenSSL 1.0.2
ÇØ°áÃ¥ OpenSSL À¥ »çÀÌÆ®ÀÎ http://www.openssl.org/ ¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Â OpenSSLÀÇ °¡Àå ÃֽŠ¹öÀü(1.0.2a ¶Ç´Â ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù.
°ü·Ã URL CVE-2015-0207,CVE-2015-0208,CVE-2015-0209,CVE-2015-0285,CVE-2015-0286,CVE-2015-0287,CVE-2015-0288,CVE-2015-0289,CVE-2016-0703,CVE-2016-0704 (CVE)
°ü·Ã URL 73225,73226,73227,73229,73230,73231,73232,73234,73235,73237,73238,73239 (SecurityFocus)
°ü·Ã URL (ISS)