Home > Àüü±â»ç

HTTP/2¸¦ ±¸ÇöÇÏ´Â ¹æ½Ä¿¡¼­ µðµµ½º Ãë¾àÁ¡ 8°³ ¹ß°ßµÅ

ÀÔ·Â : 2019-08-15 12:16
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
³ÝÇø¯½º, ±¸±Û, CERT/CC°¡ ÇÔ²² ¿¬±¸ÇÏ°í ¹ßÇ¥...Á¤º¸ À¯Ãâ ¹× Á¶ÀÛÀº ºÒ°¡´É
ÀüºÎ °°Àº ¹æ½ÄÀÇ °ø°ÝÀ¸·Î ÀͽºÇ÷ÎÀÕ °¡´É...ÀϺΠ±â¾÷µéÀº ÀÌ¹Ì ÆÐÄ¡ ¹ßÇ¥


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ³ÝÇø¯½º¿Í ±¸±ÛÀÇ ¿¬±¸¿øµéÀÌ ¿©·¯ °¡Áö À¯ÇüÀÇ HTTP/2 ±¸Çö ÇüÅ¿¡¼­ ÃÑ 8°³ÀÇ ¼­ºñ½º °ÅºÎ Ãë¾àÁ¡À» ¹ß°ßÇß´Ù. ¿©±â¿¡´Â ¾Æ¸¶Á¸, ¾ÖÇÃ, ÆäÀ̽ººÏ, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® µî IT ±â¼úÀÇ °­Àڵ鵵 ¿¬·çµÇ¾î ÀÖ´Ù°í ÇÑ´Ù.

[À̹ÌÁö = iclickart]


ÀÌ ¿¬±¸¿Í °ø°³¸¦ ÇÔ²²ÇÑ ³ÝÇø¯½º, ±¸±Û, CERT/CC¿¡ ÀÇÇÏ¸é ¡°À̹ø¿¡ ¹ß°ßµÈ ¿À·ùµéÀº ÀÚ¿ø °í°¥(resource exhaustion)°ú °ü·ÃÀÌ ÀÖÀ¸¸ç, ÀͽºÇ÷ÎÀÕÀ» ÅëÇØ HTTP/2¸¦ Áö¿øÇÏ´Â ¼­¹ö¿¡ µðµµ½º °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö ÀÖ´Ù¡±°í ÇÑ´Ù.

HTTP/2´Â HTTP ÀÎÅÍ³Ý ÇÁ·ÎÅäÄÝÀÇ µÎ ¹ø° ¹öÀüÀ¸·Î, ¾ÖÇø®ÄÉÀ̼ÇÀ» º¸´Ù ºü¸£°í, º¸´Ù °£´ÜÇϸç, º¸´Ù ´Ü´ÜÇÏ°Ô ¸¸µé±â À§ÇØ °í¾ÈµÇ¾ú´Ù.

´ÙÇàÈ÷ À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çؼ­ Á¤º¸¸¦ ÈÉÃij»°Å³ª Á¶ÀÛÇÏ´Â ÇàÀ§´Â ºÒ°¡´ÉÇÏ´Ù°í ÇÑ´Ù. ¡°³·Àº ´ë¿ªÆøÀÇ ¾Ç¼º ¼¼¼Çµé ¼Ò¼ö¸¦ °¡Áö°í ÀϺΠ¿ä¼ÒµéÀÌ Á¦´ë·Î ÀÛµ¿ÇÏÁö ¸øÇϵµ·Ï ¸¸µå´Â °ÍÀÌ °ÅÀÇ ÀüºÎÀ̱ä ÇÕ´Ï´Ù. ±×·¯³ª À̸¦ ÅëÇØ ÀÚ¿øÀ» °í°¥½Ãų ¼ö ÀÖ°í, µû¶ó¼­ Àåºñ°¡ ¿ÏÀüÈ÷ ¸¶ºñµÇµµ·Ï ¸¸µé ¼ö ÀÖ¾î °£°úÇÒ ¼ö ¾ø½À´Ï´Ù.¡±

ÀÌ Ãë¾àÁ¡µéÀÇ À̸§°ú CVE ¹øÈ£´Â ´ÙÀ½°ú °°´Ù.
1) µ¥ÀÌÅÍ µå¸®ºí(Data Dribble) : CVE-2019-9511
2) ÇÎ Ç÷¯µå(Pin Flood) : CVE-2019-9512
3) ¸®¼Ò½º ·ì(Resource Loop) : CVE-2019-9513
4) ¸®¼Â Ç÷¯µå(Reset Flood) : CVE-2019-9514
5) ¼¼ÆÃÁî Ç÷¯µå(Settings Flood) : CVE-2019-9515
6) Á¦·Î·À½º Çì´õÁî ¸®Å©(0-Length Headers Leak) : CVE-2019-9516
7) ÀÎÅͳΠµ¥ÀÌÅÍ ¹öÆÛ¸µ(Interna Data Buffering) : CVE-2019-9517
8) ¿¥Æ¼ ÇÁ·¹ÀÓÁî Ç÷¯µå(Empty Frames Flood) : CVE-2019-9518

1~7¹ø±îÁö´Â ³ÝÇø¯½ºÀÇ Á¶³ª´Ü ·ç´Ï(Jonathan Looney)°¡, 8¹øÀº ±¸±ÛÀÇ ÇÇ¿ÀÅÍ ½ÃÄÚ¶ó(Piotr Sikora)°¡ ¹ß°ßÇß´Ù°í ÇÑ´Ù.

ÀÌ ¸ðµç Ãë¾àÁ¡µéÀº ÀüºÎ °°Àº °ø°ÝÀ¸·Î ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÑ, ÀÏÁ¾ÀÇ º¯Á¾µéÀÌ´Ù. ÇØ´ç °ø°ÝÀº ´ÙÀ½°ú °°ÀÌ ÁøÇàµÈ´Ù.
1) ¾Ç¼º Ŭ¶óÀ̾ðÆ®°¡ ¼­¹ö¸¦ °Çµå·Á ÀÀ´äÀÌ »ý¼ºµÇµµ·Ï ÇÑ´Ù.
2) ¿©±â¼­ Ŭ¶óÀ̾ðÆ®°¡ ÀÀ´äÀ» ÀÐÁö ¾Ê´Â´Ù¸é, ¼­¹öÀÇ ´ë±â¿­ °ü¸® Äڵ尡 ¹ßµ¿µÈ´Ù.
3) ´ë±â¿­À» Á¦´ë·Î 󸮵ÇÁö ¾Ê´Â´Ù¸é, ¼­¹ö°¡ ¸Þ¸ð¸®¿Í CPUÀÇ ÀÚ¿øÀ» ¸¹ÀÌ ¼Ò¸ðÇÑ´Ù.
4) ÀÌ ¶§ µðµµ½º »óÅ°¡ ¹ßµ¿µÈ´Ù.

ÀÌ Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹Þ´Â ¾÷üµé Áß¿¡´Â ´©±¸³ª ¾Ë¸¸ÇÑ ±â¾÷µéµµ ÀÖ´Ù. ±×·¯³ª ÀÎÅÚ°ú ¸¶ÀÌÅ©·Îƽ(MicroTik)Àº ÀüÇô ¿µÇâÀÌ ¾ø´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. CERT/CC´Â ¿µÇâ ¿©ºÎ°¡ ¾ÆÁ÷ ¾Ë·ÁÁöÁö ¾ÊÀº Á¶Á÷ÀÌ 200°³°¡ ³Ñ´Â´Ù°í ¹ßÇ¥Çß´Ù.

¸¶ÀÌÅ©·Î¼ÒÇÁÆ®, ¾ÖÇÃ, Ŭ¶ó¿ìµåÇ÷¹¾î, NGINX, ¾ÆÄ«¸¶ÀÌ µîÀº ÀÌ¹Ì À§ Ãë¾àÁ¡µé¿¡ ´ëÇÑ ÆÐÄ¡¸¦ ¹ßÇ¥Çß´Ù. ¾ÆÁ÷ ÆÐÄ¡ Àû¿ëÀÌ ºÒ°¡´ÉÇÑ »óȲÀ̶ó¸é HTTP/2 Áö¿øÀ» ºñÈ°¼ºÈ­ ÇÏ¸é µÈ´Ù. ±×·¯³ª ³ÝÇø¯½º´Â ¡°ÆÐÄ¡ ´ë½Å HTTP/2¸¦ ºñÈ°¼ºÈ­ ÇÒ °æ¿ì, ¼Óµµ°¡ Áö¿¬µÉ ¼ö ÀÖ´Ù¡±°í °æ°íÇß´Ù.

3ÁÙ ¿ä¾à
1. ³ÝÇø¯½º¿Í ±¸±Û, HTTP/2¿¡¼­ µðµµ½º ÀÏÀ¸Å³ ¼ö ÀÖ´Â Ãë¾àÁ¡ 8°³ ¹ßÇ¥.
2. ¿µÇâÀ» ¹Þ´Â ±â¾÷µéÀº MS, ¾ÖÇÃ, ¾Æ¸¶Á¸, Ŭ¶ó¿ìµåÇ÷¹¾î µî À¯¸íÇÑ Á¶Á÷µé.
3. ÀϺδ ÆÐÄ¡ ÀÌ¹Ì ¹ßÇ¥. HTTP/2 ºñÈ°¼ºÈ­ ÅëÇؼ­µµ ¹®Á¦ ÇØ°á °¡´ÉÇϳª ¼Óµµ°¡ ´À·ÁÁú ¼ö ÀÖÀ½.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)