[º¸¾È´º½º ±Ç ÁØ ±âÀÚ] OpenSSL¿¡¼ ¹ß»ýÇÑ Èü ¿À¹öÇ÷οì Ãë¾àÁ¡, Null Æ÷ÀÎÅÍ ¿ªÂüÁ¶ Ãë¾àÁ¡ µî ÃÑ 3°³ÀÇ Ãë¾àÁ¡À» º¸¿ÏÇÑ º¸¾È ¾÷µ¥ÀÌÆ®°¡ ¹ßÇ¥µÆ´Ù.
À̹ø¿¡ ¹ß°ßµÈ º¸¾È Ãë¾àÁ¡Àº Å©°Ô 3°¡Áö·Î ´ÙÀ½°ú °°´Ù.
- OpenSSLÀÇ ASN.1 CHOICE µ¥ÀÌÅ͸¦ Á¶ÀÛ °¡´ÉÇÑ Null Æ÷ÀÎÅÍ ¿ªÂüÁ¶ Ãë¾àÁ¡(CVE-2016-7053)
- TLS ¿¬°á ½Ã »ç¿ëÇÏ´Â CHACHA20/Poly1305 ¾ÏÈ£È ¹æ½Ä¿¡¼ ¼ºñ½º °ÅºÎ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Â Èü ¿À¹öÇ÷οì Ãë¾àÁ¡(CVE-2016-7054)
- Montgomery Multiplication ¾Ë°í¸®ÁòÀÇ ÀÔ·Â °ªÀÌ 256bitº¸´Ù ¸¹À» ½Ã À߸øµÈ °á°ú °ªÀ» ¸®ÅÏÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡(CVE-2016-7055)
ÇØ´ç Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹Þ´Â Á¦Ç° ¹× ¹öÀüÀº OpenSSL 1.1.0b ÀÌÇÏ ¹öÀüÀ¸·Î, ÇØ´ç ¹öÀü »ç¿ëÀÚ´Â 1.1.0c ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ® ÇØ¾ß ÇÑ´Ù.
À̹ø¿¡ ¹ß°ßµÈ Null Æ÷ÀÎÅÍ ¿ªÂüÁ¶ Ãë¾àÁ¡Àº Null Æ÷ÀÎÅÍ¿¡ ¾î¶°ÇÑ °ªÀ» ´ëÀÔÇÏ·Á°í ÇÒ ¶§ ¹ß»ýÇÏ´Â Ãë¾àÁ¡À̸ç, Montgomery Multiplication ¾Ë°í¸®ÁòÀº RSA ¾ÏÈ£ ½Ã½ºÅÛ¿¡¼ ¿ä±¸µÇ´Â ¸ðµâ·¯ °ö¼À ±¸ÇöÀ» È¿À²ÀûÀ¸·Î Çϱâ À§ÇÑ ¾Ë°í¸®ÁòÀÌ´Ù.
À̹ø Ãë¾àÁ¡¿¡ ´ëÇÑ º¸´Ù ±¸Ã¼ÀûÀÎ »çÇ×Àº Çѱ¹ÀÎÅͳÝÁøÈï¿ø ÀÎÅͳÝÄ§ÇØ´ëÀÀ¼¾ÅÍ(±¹¹ø¾øÀÌ 118)¿¡ ¹®ÀÇÇϰųª ¾Æ·¡ »çÀÌÆ®¸¦ Âü°íÇÏ¸é µÈ´Ù.
[Âü°í»çÀÌÆ®]
[1] https://www.openssl.org/news/secadv/20161110.txt
[2] https://www.openssl.org/source/
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>