Ãë¾àÁ¡ID |
25203 |
À§Çèµµ |
40 |
Æ÷Æ® |
3306 |
ÇÁ·ÎÅäÄÝ |
TCP |
ºÐ·ù |
DB |
»ó¼¼¼³¸í |
ÇØ´ç È£½ºÆ®¿¡´Â 5.7.16 ÀÌÀüÀÇ MySQLÀÇ ¾î¶² ¹öÀüÀÌ °¡µ¿ ÁßÀÌ´Ù. MySQL 5.7.16 ÀÌÀüÀÇ 5.7 ¹öÀü¿¡´Â ´ÙÀ½°ú °°Àº ´ÙÁß Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù.
- s3_srvr.c, ssl_sess.c, t1_lib.c ÆÄÀÏ¿¡ Èü ¹öÆÛ ¿µ¿ªÀÇ Æ÷ÀÎÅÍ ¿¬»êÀ» À߸øÇÏ¿© Á¤¼öÇü ¿À¹öÇ÷ο찡 ¹ß»ýÇÏ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¼ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2016-2177)
- dsa_ossl.c ÆÄÀÏÀÇ dsa_sign_setup() ÇÔ¼ö¿¡ constant-time ÀÛ¾÷ »ç¿ëÀ» ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇÏ¿© Á¤º¸°¡ À¯ÃâµÇ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â timing side-channel °ø°ÝÀ» ÅëÇØ DSA Å° Á¤º¸¸¦ ȹµæÇÒ ¼ö ÀÖ´Ù. (CVE-2016-2178)
- DTLS ½ÇÇà ½Ã »ç¿ëµÇÁö ¾ÊÀº ¸Þ½ÃÁö¿Í °ü·ÃµÈ Å¥ÀÇ Ç׸ñµéÀÇ »ý¸í½Ã°£À» ¿Ã¹Ù¸£°Ô Á¦ÇÑÇÏÁö ¸øÇÏ¿© ¼ºñ½º °ÅºÎ°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ ´Ù¼öÀÇ DTLS ¼¼¼ÇÀ» µ¿½Ã¿¡ °ü¸®Çϵµ·Ï ÇÏ¿© ¸Þ¸ð¸®¸¦ ¼ÒÁø½Ãų ¼ö ÀÖ´Ù. (CVE-2016-2179)
- X.509 Public Key Infrastructure Time-Stamp Protocol(TSP) ½ÇÇà ½Ã °æ°è¸¦ ³Ñ¾î ¸Þ¸ð¸®¸¦ ÀоîµéÀÌ´Â ¿À·ù°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â 'openssl ts' ¸í·É¾î¿¡ ÀÇÇØ À߸ø󸮵Ǵ Á¶ÀÛµÈ Å¸ÀÓ½ºÅÆÇÁ¸¦ ÅëÇØ ¼ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å°°Å³ª ¹Î°¨ÇÑ Á¤º¸¸¦ ȹµæÇÒ ¼ö ÀÖ´Ù. (CVE-2016-2180)
- ·¹ÄÚµåÀÇ ¼ø¼ ¹øÈ£¸¦ ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇØ DTLS ³»ÀÇ Anti-Replay ±â´É¿¡ ¼ºñ½º °ÅºÎ°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â µµ¿ëµÈ DTLS ·¹Äڵ带 ÅëÇØ Á¤´çÇÑ ÆÐŶÀ» µå·Ó½Ãų ¼ö ÀÖ´Ù. (CVE-2016-2181)
- bn_print.c ÆÄÀÏÀÇ BN_bn2dec() ÇÔ¼ö¿¡ BIGNUM °ªÀ» ó¸®ÇÒ ¶§ »ç¿ëÀÚ ÀÔ·ÂÀÌ ¿Ã¹Ù¸¥Áö Á¡°ËÇÏÁö ¸øÇÏ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¿À¹öÇ÷ο츦 ¹ß»ý½ÃÄÑ ÇÁ·Î¼¼½º¸¦ Æı«ÇÒ ¼ö ÀÖ´Ù. (CVE-2016-2182)
- SWEET32·Î ¾Ë·ÁÁø 3DES¿Í Blowfish ¾Ë°í¸®Áò¿¡ ¾àÇÑ 64ºñÆ® ºí·Ï ¾Ïȣȸ¦ µðÆúÆ®·Î »ç¿ëÇÏ´Â Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â man-in-the-middle °ø°ÝÀ» ¼öÇàÇÏ¿© HTTPS ÄíÅ°¿Í °°Àº º¸¾È Á¤º¸¸¦ ȹµæÇÒ ¼ö ÀÖ°í ÀÎÁõµÈ ¼¼¼ÇÀ» ȹµæÇÒ ¼ö ÀÖ´Ù. (CVE-2016-2183)
- Security: Encryption ¼ºêÄÄÆ÷³ÍÆ®¿¡ ¹Î°¨ÇÑ Á¤º¸°¡ ³ëÃâµÉ ¼ö ÀÖ´Â ÁöÁ¤µÇÁö ¾ÊÀº ¿À·ù°¡ Á¸ÀçÇÑ´Ù. (CVE-2016-5584)
- t1_lib.c ÆÄÀÏÀÇ tls_decrypt_ticket() ÇÔ¼ö¿¡ ƼÄÏÀÇ HMAC 󸮸¦ ¿Ã¹Ù¸£°Ô ÇÏÁö ¸øÇÏ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¸Å¿ì ªÀº ƼÄÏÀ» ÅëÇØ ÇÁ·Î¼¼½º¸¦ Æı«ÇÏ¿© ¼ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2016-6302)
- mdc2dgst.c ÆÄÀÏÀÇ MDC2_Update() ÇÔ¼ö¿¡ »ç¿ëÀÚ ÀÔ·ÂÀÌ ¿Ã¹Ù¸¥Áö Á¡°ËÇÏÁö ¸øÇÏ¿© Á¤¼öÇü ¿À¹öÇ÷ο찡 ¹ß»ýÇÏ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Èü ±â¹ÝÀÇ ¹öÆÛ ¿À¹öÇ÷ο츦 ¹ß»ý½ÃÄÑ ¼ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å°°Å³ª ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ´Ù. (CVE-2016-6303)
- t1_lib.c ÆÄÀÏÀÇ ssl_parse_clienthello_tlsext() ÇÔ¼ö¿¡ ¸Å¿ì Å« OCSP »óÅ ¿äûÀ» ¿Ã¹Ù¸£°Ô ó¸®ÇÏÁö ¸øÇÏ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¸Å¿ì Å« OCSP »óÅ ¿äûÀ» ÅëÇØ ¸Þ¸ð¸®¸¦ ¼ÒÁøÇÏ°Ô ÇÏ¿© ¼ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2016-6304)
- ÀÎÁõ¼¸¦ ÆĽÌÇÒ ¶§ ¸Þ¸ð¸®ÀÇ °æ°è¸¦ ³Ñ¾î¼ ¸Þ¸ð¸®¸¦ Àд ¿À·ù°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¼ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. (CVE-2016-6306)
- sql/sys_vars.cc ÆÄÀÏÀÇ check_log_path() ÇÔ¼ö¿¡ my.cnf ¼³Á¤ ÆÄÀÏ ¾²±â¸¦ ¿Ã¹Ù¸£°Ô Á¦ÇÑÇÏÁö ¸øÇϸç, ÇöÀç ¹öÀü¿¡¼ »ç¿ëÇÏÁö ¾Ê´Â °æ·Î À§Ä¡·ÎºÎÅÍ ¼³Á¤ ÆÄÀÏÀ» ·ÎµùÇÏ°Ô ÇÏ´Â ¿À·ù°¡ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀڴ Ưº°È÷ Á¶ÀÛµÈ Äõ¸®¸¦ ÀÌ¿ëÇÏ¿© °ü¸®ÀÚ ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖ´Ù. (CVE-2016-6662)
- Ç¥ »öÀÎÀÌ cache-bank Á¢±Ù ½Ã°£À» À߸ø °è»êÇÏ¿© wolfSSL¿¡¼ ¿À·ù°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ ¾îÇø®ÄÉÀ̼ÇÀ» ÀÌ¿ëÇÏ¿© AES Å°¸¦ ¾Ë¾Æ³¾ ¼ö ÀÖ´Ù. (CVE-2016-7440)
* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç MySQLÀÇ ¹è³Ê Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.
* Âü°í »çÀÌÆ®: http://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-16.html http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/3235388.xml
* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû: MySQL 5.7.16 ÀÌÀüÀÇ 5.7.x ¹öÀüµé ¸ðµç ¿î¿µÃ¼Á¦ ¸ðµç ¹öÀü |
ÇØ°áÃ¥ |
MySQL À¥ »çÀÌÆ®ÀÎ http://www.mysql.com/ ¿¡¼ ±¸ÇÒ ¼ö ÀÖ´Â MySQLÀÇ °¡Àå ÃֽŠ¹öÀü(5.7.16 ÀÌ»ó)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù. |
°ü·Ã URL |
CVE-2016-2177,CVE-2016-2178,CVE-2016-2179,CVE-2016-2180,CVE-2016-2181,CVE-2016-2182,CVE-2016-2183,CVE-2016-5584,CVE-2016-6302,CVE-2016-6662 (CVE) |
°ü·Ã URL |
91081,91319,92117,92557,92628,92630,92912,92982,92984,92987,93150,93153,93659,93735 (SecurityFocus) |
°ü·Ã URL |
(ISS) |
|