English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 22921
À§Çèµµ 30
Æ÷Æ® 80, ...
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù WWW
»ó¼¼¼³¸í ¿ø°Ý È£½ºÆ®¿¡ OpenssL 1.1.0k ÀÌÀü ¹öÀüÀÌ ¼³Ä¡µÇ¾î ÀÖÀ¸¸ç ´ÙÀ½ ±Ç°í¿¡¼­ ¾ð±Þ µÈ Ãë¾àÁ¡ÀÇ ¿µÇâÀ»¹Þ½À´Ï´Ù.
- ChaCha20-Poly1305´Â AEAD ¾ÏÈ£ÀÌ¸ç ¸ðµç ¾Ïȣȭ ÀÛ¾÷¿¡ ´ëÇØ °íÀ¯ ÇÑ nonce ÀÔ·ÂÀÌ ÇÊ¿äÇÕ´Ï´Ù. RFC 7539´Â nonce °ª (IV)ÀÌ 96 ºñÆ® (12 ¹ÙÀÌÆ®) ¿©¾ß ÇÔÀ» ÁöÁ¤ÇÕ´Ï´Ù. OpenSSLÀº nonce ±æÀ̸¦ °¡º¯ÀûÀ¸·Î Çã¿ëÇÏ°í 12 ¹ÙÀÌÆ® ¹Ì¸¸ÀÎ °æ¿ì nonce¸¦ 0 ¹ÙÀÌÆ®·Î ¾Õ¸é¿¡ ä ¿ó´Ï´Ù. ±×·¯³ª ±×°ÍÀº ¶ÇÇÑ nonce°¡ ÃÖ´ë 16 ¹ÙÀÌÆ®·Î À߸ø ¼³Á¤µÇµµ·ÏÇÕ´Ï´Ù. ÀÌ °æ¿ì ¸¶Áö¸· 12 ¹ÙÀÌÆ® ¸¸ Áß¿äÇϸç Ãß°¡ ¼±Çà ¹ÙÀÌÆ®´Â ¹«½ÃµË´Ï´Ù. nonce °ªÀÌ À¯ÀÏÇÑÀÌ ¾ÏÈ£¸¦ »ç¿ëÇؾßÇÑ´Ù´Â ¿ä±¸ »çÇ×ÀÔ´Ï´Ù. Àç»ç¿ë µÈ nonce °ªÀ» »ç¿ëÇÏ¿© ¾Ïȣȭ µÈ ¸Þ½ÃÁö´Â ½É°¢ÇÑ ±â¹Ð¼º ¹× ¹«°á¼º °ø°ÝÀ» ¹Þ±â ½±½À´Ï´Ù. ÀÀ¿ë ÇÁ·Î±×·¥ÀÌ ±âº» nonce ±æÀ̸¦ 12 ¹ÙÀÌÆ®º¸´Ù ±æ°Ô º¯°æ ÇÑ ´ÙÀ½ »õ °ªÀÌ »õ·Î¿î °íÀ¯ ÇÑ nonce°¡ µÉ °ÍÀ¸·Î ¿¹»óÇÏ´Â nonceÀÇ ¼±Çà ¹ÙÀÌÆ®¸¦ º¯°æÇϸé ÀÌ·¯ÇÑ ÀÀ¿ë ÇÁ·Î±×·¥Àº Àç»ç¿ë µÈ nonce¸¦ »ç¿ëÇÏ¿© ½Ç¼ö·Î ¸Þ½ÃÁö¸¦ ¾Ïȣȭ ÇÒ ¼ö ÀÖ½À´Ï´Ù. ¶ÇÇÑ long nonce¿¡¼­ ¹«½Ã µÈ ¹ÙÀÌÆ®´ÂÀÌ ¾ÏÈ£ÀÇ ¹«°á¼º º¸Àå¿¡ Æ÷ÇÔµÇÁö ¾Ê½À´Ï´Ù. ¹«½Ã µÈ ¼±Çà ¹ÙÀÌÆ®ÀÇ ±ä nonceÀÇ ¹«°á¼º¿¡ ÀÇÁ¸ÇÏ´Â ÀÀ¿ë ÇÁ·Î±×·¥Àº ´õ ¿µÇâÀ»¹ÞÀ» ¼ö ÀÖ½À´Ï´Ù. SSL / TLS¸¦ Æ÷ÇÔÇÏ¿© ÀÌ ¾ÏÈ£ÀÇ OpenSSL ³»ºÎ »ç¿ëÀº ±×·¯ÇÑ »ç¿ëÀÌ ±ä nonce °ªÀ» ¼³Á¤ÇÏÁö ¾Ê±â ¶§¹®¿¡ ¾ÈÀüÇÕ´Ï´Ù. (CVE-2019-1543)

* Âü°í »çÀÌÆ®:
https://github.com/openssl/openssl/commit/ee22257b1418438ebaf54df98af4e24f494d1809 https://www.openssl.org/news/secadv/20190306.txt

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
1.1.0k ÀÌÀüÀÇ OpenSSL 1.1.0x
Linux Any version
Unix Any version
Microsoft Windows Any version
ÇØ°áÃ¥ OpenSSL À¥ »çÀÌÆ®ÀÎ http://www.openssl.org/ ¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Â OpenSSLÀÇ °¡Àå ÃֽŠ¹öÀü(1.1.0k ¶Ç´Â ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù.
°ü·Ã URL CVE-2019-1543 (CVE)
°ü·Ã URL (SecurityFocus)
°ü·Ã URL (ISS)