English

◀◁ 뒤로 취약점ID 22666 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 배너정보에 따르면 원격의 웹 서버에는 1.0.1m 이전의 OpenSSL 버전이 실행되고 있다. 해당 버전은 다중 취약점이 존재한다. - ec_asn1.c 파일의 d2i_ECPrivateKey 함수에 Use-after-free 에러가 존재하여 서비스 거부가 발생할 수 있다. (CVE-2015-0209) - a_type.c 파일의 ASN1_TYPE_cmp 함수에서 BOOL형 비교를 올바르게 수행하지 않아 서비스 거부가 발생할 수 있다. (CVE-2015-0286) - tasn_dec.c 파일의 ASN1_item_ex_d2i 함수에서 CHOICE와 ADB 데이터 구조를 다시 초기화 하지 않아 서비스 거부가 발생할 수 있다. (CVE-2015-0287) - x509_req.c 파일의 X509_to_X509_REQ 함수에서 인증키를 올바르게 처리하지 못해 서비스 거부가 발생할 수 있다. (CVE-2015-0288) - PKCS#7 파싱 시 외부 콘텐츠 정보가 빠져있는 경우를 올바르게 처리하지 못해 서비스 거부가 발생할 수 있다. (CVE-2015-0289) - CLIENT-MASTER-KEY 메시지를 올바르게 처리하지 못하여 SSLv2 실행 시 서비스 거부가 발생할 수 있다. (CVE-2015-0293) * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 서버의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: https://www.openssl.org/news/secadv_20150319.txt * 영향을 받는 플랫폼: 1.0.1m 이전의 OpenSSL 1.0.1 해결책 OpenSSL 웹 사이트인 http://www.openssl.org/ 에서 구할 수 있는 OpenSSL의 가장 최신 버전(1.0.1m 또는 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2015-0209,CVE-2015-0286,CVE-2015-0287,CVE-2015-0288,CVE-2015-0289,CVE-2015-0293,CVE-2016-0703,CVE-2016-0704 (CVE) 관련 URL 73225,73227,73231,73232,73237,73239 (SecurityFocus) 관련 URL (ISS)