English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 25182
À§Çèµµ 40
Æ÷Æ® 3306
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù DB
»ó¼¼¼³¸í ¿ø°Ý È£½ºÆ®¿¡ MySQL 5.6.30 ÀÌÀü 5.6.x ¹öÀüÀÌ ¼³Ä¡µÇ¾î ÀÖÀ¸¸ç ´ÙÀ½ÀÇ ´ÙÁß Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù.

- ¾Ïȣȭ Çù»ó °úÁ¤¿¡¼­ ¹øµé µÈ OpenSSL Ãë¾àÁ¡À¸·Î ÀÎÇÏ¿© ¾Ïȣȭ ¾Ë°í¸®Áò ´Ù¿î±×·¹À̵å Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. ¼­¹ö¿¡¼­ SSLv2°¡ Disable µÈ »óÅ¿¡¼­µµ SSLv2 Çù»óÀ» Çϸç SSV2 Çڵ彦ÀÌÅ©¸¦ ¿Ï·á½Ãų ¼ö ÀÖ´Ù. SSL_OP_NO_SSLv2 ¿É¼ÇÀÌ Disable µÇÁö ¾ÊÀº »óÅ¿¡¼­¸¸ ÀÌ Ãë¾àÁ¡ÀÌ ¹ß»ýÇÑ´Ù. (CVE-2015-3197)

- Pluggable ÀÎÁõ ¼­ºêÄÄÆ÷³ÍÆ®¿¡ Á¤ÀǵÇÁö ¾ÊÀº Ãë¾àÁ¡ÀÌ Á¸ÀçÇØ °ø°ÝÀÚ´Â ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ´Ù. (CVE-2016-0639)

- Federated subcomponent¿¡ Á¤ÀǵÇÁö ¾ÊÀº °áÇÔÀÌ Á¸ÀçÇØ ¿ø°Ý °ø°ÝÀÚ°¡ ÀÎÁõÀ» ¿ìȸÇÏ¸ç ¹«°á¼º°ú °¡¿ë¼º¿¡ ¿µÇâÀ» ¹ÌÄ¥ ¼ö ÀÖ´Ù. (CVE-2016-0642)

- DML subcomponent¿¡ Á¤ÀǵÇÁö ¾ÊÀº °áÇÔÀÌ Á¸ÀçÇØ ¿ø°Ý °ø°ÝÀÚ°¡ ¹Î°¨ÇÑ Á¤º¸¸¦ º¼ ¼ö ÀÖ´Ù. (CVE-2016-0643)

- FTS subcomponent¿¡ Á¤ÀǵÇÁö ¾ÊÀº °áÇÔÀÌ Á¸ÀçÇØ ÀÎÁõµÈ ¿ø°Ý °ø°ÝÀÚ°¡ ¼­ºñ½º °ÅºÎ »óÅ¿¡ ºü¶ß¸± ¼ö ÀÖ´Ù. (CVE-2016-0647)

- PS subcomponent¿¡ Á¤ÀǵÇÁö ¾ÊÀº °áÇÔÀÌ Á¸ÀçÇØ ÀÎÁõµÈ ¿ø°Ý °ø°ÝÀÚ°¡ ¼­ºñ½º °ÅºÎ »óÅ¿¡ ºü¶ß¸± ¼ö ÀÖ´Ù. (CVE-2016-0647)

- InnoDB subcomponent¿¡ Á¤ÀǵÇÁö ¾ÊÀº °áÇÔÀÌ Á¸ÀçÇØ ÀÎÁõµÈ ¿ø°Ý °ø°ÝÀÚ°¡ ¼­ºñ½º °ÅºÎ »óÅ¿¡ ºü¶ß¸± ¼ö ÀÖ´Ù. (CVE-2016-0655)

- Security: Privileges subcomponent¿¡ Á¤ÀǵÇÁö ¾ÊÀº °áÇÔÀÌ Á¸ÀçÇØ ÀÎÁõµÈ ¿ø°Ý °ø°ÝÀÚ°¡ ¼­ºñ½º °ÅºÎ »óÅ¿¡ ºü¶ß¸± ¼ö ÀÖ´Ù. (CVE-2016-0666)

- ¹øµé µÈ OpenSSL¿¡¼­ Intel Sandy-bridge microarchitectureÀÇ cache-bank Ãæµ¹À» À߸ø ´Ù·ëÀ¸·Î ÀÎÇÏ¿© Å° Á¤º¸ ³ëÃâ Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. °ø°ÝÀÚ´Â RSA Å° Á¤º¸¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Ù. (CVE-2016-0702)

- malformed DSA private key¸¦ ÆĽÌÇÒ ¶§ »ç¿ëÀÚ ÀԷ°ª üũ¸¦ Á¦´ë·Î È®ÀÎÇÏÁö ¾Ê¾Æ ¹øµéµÈ OpenSSL¿¡ double-free ¿¡·¯°¡ Á¸ÀçÇÑ´Ù. °ø°ÝÀÚ´Â ¸Þ¸ð¸®¸¦ ºØ±« ½ÃÄÑ ¼­ºñ½º °ÅºÎ »óÅ¿¡ ºü¶ß¸®°Å³ª ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ´Ù. (CVE-2016-0705)

- ¹øµé µÈ ¹öÀüÀÇ OpenSSL BN_hex2bn(), BN_dec2bn() ÇÔ¼ö¿¡ ³Î Æ÷ÀÎÅÍ ÂüÁ¶ ¿À·ù°¡ Á¸ÀçÇÑ´Ù. °ø°ÝÀÚ´Â ÈüÀ» ºØ±«½ÃÄÑ ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ´Ù. (CVE-2016-0797)

- ¹øµé µÈ ¹öÀüÀÇ OpenSSL¿¡¼­ À¯È¿ÇÏÁö ¾ÊÀº usernameÀ» À߸ø ´Ù·ç¾î ¼­ºñ½º °ÅºÎ Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. °ø°ÝÀÚ´Â Á¶ÀÛµÈ usernameÀ¸·Î ¿¬°á¸¶´Ù 300¹ÙÀÌÆ® ¸Þ¸ð¸® ´©¼ö¸¦ ¹ß»ý½ÃÄÑ ¸Þ¸ð¸®¸¦ °í°¥½Ãų ¼ö ÀÖ´Ù. (CVE-2016-0798)

- ¹øµé µÈ ¹öÀüÀÇ OpenSSL¿¡¼­ ´ÙÁß ¸Þ¸ð¸® ºØ±« Ãë¾àÁ¡ÀÌ Á¸ÀçÇØ °ø°ÝÀÚ´Â ÀÓÀÇÀÇ Äڵ带 ½ÇÇà½ÃÅ°°Å³ª ¼­ºñ½º °ÅºÎ »óÅ¿¡ ºü¶ß¸± ¼ö ÀÖ´Ù. (CVE-2016-0799)

- ¹øµé µÈ ¹öÀüÀÇ OpenSSL¿¡¼­ DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. (CVE-2016-0800)

- X.509 ÀÎÁõ¼­ÀÇ Subject's Common Name (CN) ¶Ç´Â SubjectAltName fieldÀÇ µµ¸ÞÀÎ ³×ÀÓ°ú ¼­¹öÀÇ È£½ºÆ® ³×ÀÓÀÌ ÀÏÄ¡ÇÏ´ÂÁö Á¦´ë·Î È®ÀÎÇÏÁö ¾Ê¾Æ man-in-the-middle spoofing Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. (CVE-2016-2047)

* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç MySQLÀÇ ¹è³Ê Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼­ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.

* Âü°í »çÀÌÆ®:
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
https://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-30.html
https://drownattack.com/
https://www.drownattack.com/drown-attack-paper.pdf

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
MySQL 5.6.30 ÀÌÀüÀÇ 5.6.x ¹öÀü
¸ðµç ¿î¿µÃ¼Á¦ ¸ðµç ¹öÀü
ÇØ°áÃ¥ MySQL À¥ »çÀÌÆ®ÀÎ http://www.mysql.com/ ¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Â MySQLÀÇ °¡Àå ÃֽŠ¹öÀü(5.6.30 ÀÌ»ó)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù.
°ü·Ã URL CVE-2015-3197,CVE-2016-0639,CVE-2016-0642,CVE-2016-0643,CVE-2016-0647,CVE-2016-0648,CVE-2016-0655,CVE-2016-0666,CVE-2016-0702,CVE-2016-0705 (CVE)
°ü·Ã URL (SecurityFocus)
°ü·Ã URL (ISS)