하모니 게시판

OpenSSL에서 서비스 거부(DoS) 등 3건의 취약점 발견

2018.03.29 13:01

la_Nube 조회 수:338

암호화 라이브러리인 OpenSSL에서 서비스 거부(DoS) 공격을 일으킬 수 있는 새로운 취약점이 발견되었습니다.

그리고 보안 기능을 우회할 수 있는 취약점과 오버플로우 버그와 관련된 취약점 등도 같이 발견되었습니다.


--


■ Moderate 등급 (2)

CVE-2018-0739 : Constructed ASN.1 types with a recursive definition could exceed the stack
CVE-2018-0733 : Incorrect CRYPTO_memcmp on HP-UX PA-RISC

■ Low 등급 (1)

CVE-2017-3738 : rsaz_1024_mul_avx2 overflow bug on x86_64

자세한 업데이트 내역은 아래 링크의 정보를 참고하기 바랍니다.

--

□ OpenSSL 1.1.0g 및 이하 버전 → OpenSSL 1.1.0h 버전으로 업데이트

□ OpenSSL 1.0.2n 및 이하 버전 → OpenSSL 1.0.2o 버전으로 업데이트

https://www.openssl.org/news/secadv/20180327.txt

--


<OpenVPN>

OpenVPN이 현재 사용하는 OpenSSL 라이브러리 버전은 다음과 같습니다.
 - library versions: OpenSSL 1.1.0f, 25 May 2017, LZO 2.10

즉, 위 세 취약점에 취약하며, 아직 보안 패치가 이루어지지 않았습니다.

아울러 OpenVPN을 가져와 쓰고 있는 거의 대부분의 VPN들 역시 취약할 것으로 예상됩니다.
(OpenVPN Connect, OpenVPN GUI, ExpressVPN, NordVPN, PIA VPN, ProtonVPN 등)


현재 사용하고 있는 NordVPN에는 문의 메일을 보냈습니다. 답변을 기다리는 중입니다.


--


<Debian>

데비안 9 Stretch (Stable)
 - CVE-2018-0739 : openssl 1.1.0f-3+deb9u1 및 openssl1.0 1.0.2l-2+deb9u2는 취약하나, 아직 보안 패치 없음
 - CVE-2018-0733 : openssl 1.1.0f-3+deb9u1 및 openssl1.0 1.0.2l-2+deb9u2는 취약하나, 아직 보안 패치 없음
 - CVE-2017-3738 : openssl 1.1.0f-3+deb9u1은 취약하고, openssl1.0 1.0.2l-2+deb9u2는 영향을 받지 않음

데비안 8 Jessie (OldStable) 및 리눅스민트 데비안에디션(LMDE) 2 Betsy
 - CVE-2018-0739 : openssl 1.0.1t-1+deb8u7은 취약하나, 아직 보안 패치 없음
 - CVE-2018-0733 : openssl 1.0.1t-1+deb7u3은 영향을 받지 않음
 - CVE-2017-3738 : openssl 1.0.1t-1+deb8u7은 영향을 받지 않음

데비안 7 Wheezy (OldOldStable)
 - CVE-2018-0739 : openssl 1.0.1t-1+deb7u3은 취약하나, 아직 보안 패치 없음
 - CVE-2018-0733 : openssl 1.0.1t-1+deb7u3은 영향을 받지 않음
 - CVE-2017-3738 : openssl 1.0.1t-1+deb7u3은 영향을 받지 않음

--

<Ubuntu>

우분투 16.04 LTS / 리눅스민트 18.x
 - CVE-2018-0739 : openssl 1.0.2g-1ubuntu4.11에서 보안 패치 완료
 - CVE-2018-0733 : 영향을 받지 않음
 - CVE-2017-3738 : 이전 버전인 openssl 1.0.2g-1ubuntu4.10에서 이미 보안 패치 완료

우분투 14.04 LTS / 리눅스민트 17.x / 하모니카 2.1
 - CVE-2018-0739 : openssl 1.0.1f-1ubuntu2.24에서 보안 패치 완료
 - CVE-2018-0733 : 영향을 받지 않음
 - CVE-2017-3738 : 영향을 받지 않음



출처: http://la-nube.tistory.com/361 [la Nube's Lab. | 라 누베 연구소]
이 게시물을
목록
목록
번호 제목 추천 수 글쓴이 날짜 조회 수
공지 하모니카 5.0 Hanla 64bit 릴리즈 노트 [9] 0 JamesBae 2021.10.12 15648
공지 [공지] '하모니 소식' 게시판 변경 공지 [1] 0 LukeHan 2018.12.17 29377
1263 네 개 대학 연구원들, 인텔 프로세서에서 다른 취약점 발견 [1] 0 la_Nube 2018.04.01 229
1262 [배포판] 넘버원 리눅스 3가지 버전으로 개발 중... [2] file 0 행복한펭귄 2018.03.31 378
1261 kldp와 하모니카 사이트 차이 [11] 0 세벌 2018.03.31 397
1260 칼리 리눅스(Kali Linux) 커널 업데이트 - 4.15.11-1kali1 [3] 0 la_Nube 2018.03.31 3947
1259 [게임]Spec Ops:The Line 리눅스버전 설치 및 한글패치 방법 [6] 0 Moordev 2018.03.30 1015
1258 전 세계 리눅스 서버 노리는 공격, 9개월 동안 몰랐다 [5] 0 la_Nube 2018.03.30 329
1257 리눅스 서버 훔쳐 채굴하는 자들, 이미 7만 4천 달러 벌어 [1] 0 la_Nube 2018.03.30 353
1256 “페이스북 데이터 유출 걱정 끝” 파이어폭스, 쿠키 격리 확장 프로그램 공개 [5] 0 행복한펭귄 2018.03.29 275
1255 [게임] 시드 마이어의 문명 VI 흥망성쇠 리눅스 버전 공개 [4] file 0 행복한펭귄 2018.03.29 505
» OpenSSL에서 서비스 거부(DoS) 등 3건의 취약점 발견 [7] 0 la_Nube 2018.03.29 338
1253 + Latest Tweets ? 0 세벌 2018.03.29 203
1252 웹브라우저 별 소프트웨어 가이드 [3] 0 행복한펭귄 2018.03.29 842
1251 파이어폭스(Firefox) 59.0.2 업데이트 [3] 0 la_Nube 2018.03.28 442
1250 썬더버드(Thunderbird) 52.7.0 업데이트 [1] 0 la_Nube 2018.03.28 232
1249 관리자께 질문 드립니다. [8] 0 krhamoni 2018.03.27 344
1248 하모니카 보안 권고는 어디에? [19] 0 세벌 2018.03.27 323
1247 HP DL360 G6 에 하모니카 설치? [2] 0 세벌 2018.03.26 293
1246 우분투 18.04 beta2는 4월 5일 전후로 발표 예정 [2] 0 Moordev 2018.03.25 315
1245 민트 박스 미니2 PC 발표 [6] file 0 행복한펭귄 2018.03.25 471
1244 지금은 스냅이 인기를 얻는 중.... 0 행복한펭귄 2018.03.25 275
쓰기
태그
다운로드
more +
  • 하모니카 미디어 에디션
  • 설치가 필요없는 화상통화 하모니

Copyright © Invesume, Inc. All rights reserved.

loginbox2
아직 회원이 아니세요? 회원가입