오늘:
1,430
어제:
3,366
전체:
3,302,605

하모니카 묻고답하기

조회 수 1382 추천 수 0 댓글 7
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

암호화 라이브러리인 OpenSSL에서 서비스 거부(DoS) 공격을 일으킬 수 있는 새로운 취약점이 발견되었습니다.

그리고 보안 기능을 우회할 수 있는 취약점과 오버플로우 버그와 관련된 취약점 등도 같이 발견되었습니다.


--


■ Moderate 등급 (2)

CVE-2018-0739 : Constructed ASN.1 types with a recursive definition could exceed the stack
CVE-2018-0733 : Incorrect CRYPTO_memcmp on HP-UX PA-RISC

■ Low 등급 (1)

CVE-2017-3738 : rsaz_1024_mul_avx2 overflow bug on x86_64

자세한 업데이트 내역은 아래 링크의 정보를 참고하기 바랍니다.

--

□ OpenSSL 1.1.0g 및 이하 버전 → OpenSSL 1.1.0h 버전으로 업데이트

□ OpenSSL 1.0.2n 및 이하 버전 → OpenSSL 1.0.2o 버전으로 업데이트

https://www.openssl.org/news/secadv/20180327.txt

--


<OpenVPN>

OpenVPN이 현재 사용하는 OpenSSL 라이브러리 버전은 다음과 같습니다.
 - library versions: OpenSSL 1.1.0f, 25 May 2017, LZO 2.10

즉, 위 세 취약점에 취약하며, 아직 보안 패치가 이루어지지 않았습니다.

아울러 OpenVPN을 가져와 쓰고 있는 거의 대부분의 VPN들 역시 취약할 것으로 예상됩니다.
(OpenVPN Connect, OpenVPN GUI, ExpressVPN, NordVPN, PIA VPN, ProtonVPN 등)


현재 사용하고 있는 NordVPN에는 문의 메일을 보냈습니다. 답변을 기다리는 중입니다.


--


<Debian>

데비안 9 Stretch (Stable)
 - CVE-2018-0739 : openssl 1.1.0f-3+deb9u1 및 openssl1.0 1.0.2l-2+deb9u2는 취약하나, 아직 보안 패치 없음
 - CVE-2018-0733 : openssl 1.1.0f-3+deb9u1 및 openssl1.0 1.0.2l-2+deb9u2는 취약하나, 아직 보안 패치 없음
 - CVE-2017-3738 : openssl 1.1.0f-3+deb9u1은 취약하고, openssl1.0 1.0.2l-2+deb9u2는 영향을 받지 않음

데비안 8 Jessie (OldStable) 및 리눅스민트 데비안에디션(LMDE) 2 Betsy
 - CVE-2018-0739 : openssl 1.0.1t-1+deb8u7은 취약하나, 아직 보안 패치 없음
 - CVE-2018-0733 : openssl 1.0.1t-1+deb7u3은 영향을 받지 않음
 - CVE-2017-3738 : openssl 1.0.1t-1+deb8u7은 영향을 받지 않음

데비안 7 Wheezy (OldOldStable)
 - CVE-2018-0739 : openssl 1.0.1t-1+deb7u3은 취약하나, 아직 보안 패치 없음
 - CVE-2018-0733 : openssl 1.0.1t-1+deb7u3은 영향을 받지 않음
 - CVE-2017-3738 : openssl 1.0.1t-1+deb7u3은 영향을 받지 않음

--

<Ubuntu>

우분투 16.04 LTS / 리눅스민트 18.x
 - CVE-2018-0739 : openssl 1.0.2g-1ubuntu4.11에서 보안 패치 완료
 - CVE-2018-0733 : 영향을 받지 않음
 - CVE-2017-3738 : 이전 버전인 openssl 1.0.2g-1ubuntu4.10에서 이미 보안 패치 완료

우분투 14.04 LTS / 리눅스민트 17.x / 하모니카 2.1
 - CVE-2018-0739 : openssl 1.0.1f-1ubuntu2.24에서 보안 패치 완료
 - CVE-2018-0733 : 영향을 받지 않음
 - CVE-2017-3738 : 영향을 받지 않음



출처: http://la-nube.tistory.com/361 [la Nube's Lab. | 라 누베 연구소]
  • profile
    행복한펭귄 2018.03.29 13:34

    오래 된 취약점 악용해 리눅스 서버 공격... 가상 화폐 채굴에 사용

    http://www.dailysecu.com/?mod=news&act=articleView&idxno=32270


    요즈음은 보안 뉴스를 모르면 바보가 되는 세상입니다.

    그 만큼 보안이 이래나 저래나 매우 중요합니다.


    늘 수고롭게도 보안 뉴스를 정리해서 알려주시는 라누베님에게 감사드립니다.

  • ?
    Moordev 2018.03.29 13:40
    OpenSSL이 그래도 하트블리드이후로 보안패치를 활발히 하고 있네요. 사실상 표준이니 openssl패키지의 업데이트는 꼭하시길 바랍니다. 솔직히 안 쓰는 프로그램이 없습니다.
  • profile
    행복한펭귄 2018.03.29 13:55

    맞아요. 다른 곳에서 필수적으로 사용하는 프로그램은 반드시 업데이트해서 보안 문제가 생기지 않도록 철저히 관리해줘야합니다.

  • ?
    Ohnine 2018.03.29 21:39
    우분투가 업데이트가 빠르군.
    기업이니 뭐...
  • profile
    행복한펭귄 2018.03.30 19:14

    우분투뿐만 아니라 다른 배포판들도 요즈음 보안 문제와 기타 문제의 심각성을 극히 잘 알고 있기 때문에 기민하게 보안 패치 및 각종 수정 보완 사항을 내는 경향이 있습니다. 우분투, 리눅스 민트, 데비안같은 계열은 말할 것도 없고, 일반적으로 잘 알려지지 않거나 알려지기는 했지만 대중적으로 사용하지 않는 배포판도 기민하게 반응하더군요. 매우 좋은 일이라 보입니다.

  • ?
    Playing 2018.03.29 23:46

    글 잘 봤습니다

    마이크로소프트나 애플사도 그렇지만 보안문제가 나오면 바로바로 관련내용을 알리고 대비하는 게 좋죠


    개인적으로 리눅스가 훨씬 기민하게 대응하는거 같습니다(설치 드라이버 같은 호환성 문제 제외)

  • profile
    행복한펭귄 2018.03.30 19:16

    보안 문제는 특별히 아주 기민하게 대응하는 것으로 보입니다.

    여러 가지 큰 역사적인 사건을 경험했기에 더욱 그런 경향이 있습니다.

    드라이버의 경우 대부분은 문제없는데, 윈도우 전용 특정 하드웨어와 오픈 소스가 아닌 클로즈 소스 기반의 각종 기업의 드라이버 지원 문제때문에 본의 아니게 이런 문제가 해결되지 못하고 있는 중입니다.

    이 문제는 매우 심각한 부분인데, 아직까지 확실한 실마리를 못 찾은 것으로 보이기는 합니다만, 어떤 좋은 방법이 있는지 잘 모르겠습니다.


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
공지 게시판에 질문하기 전 읽기 - 어떻게 질문을 하는 것이 좋을까? 2 0 Kevin 2019.11.18 35855
1272 윈도 디펜더에서 매우 심각한 보안 취약점이 발견됨 (CVE-2018-0986) 8 0 la_Nube 2018.04.04 1302
1271 리눅스 민트19 타라 개발 소식 5 0 행복한펭귄 2018.04.04 1356
1270 우분투(Ubuntu) LTS 리눅스 커널 업데이트 - 2018.04.03. 0 la_Nube 2018.04.04 1311
1269 오픈소스 메인테이너는 당신에게 빚진 적 없다 28 0 Kevin 2018.04.03 1410
1268 관리자님께 이팀장? 2 0 세벌 2018.04.03 1287
1267 관리자 님께 제안: young1004 접근 금지 설정 요청 4 0 세벌 2018.04.02 1308
1266 [게임]두근두근 문예부! 리눅스버전 한글입력 개선 4 file 0 Moordev 2018.04.01 1414
1265 [패키지] 우분투 스냅 2.40 발표 file 0 행복한펭귄 2018.04.01 1142
1264 [보안] 우분투 레포지토리에서 인텔 마이크로코드 업데이트 갱신 지원 file 0 행복한펭귄 2018.04.01 1489
1263 네 개 대학 연구원들, 인텔 프로세서에서 다른 취약점 발견 1 0 la_Nube 2018.04.01 1093
1262 [배포판] 넘버원 리눅스 3가지 버전으로 개발 중... 2 file 0 행복한펭귄 2018.03.31 1369
1261 kldp와 하모니카 사이트 차이 11 0 세벌 2018.03.31 1446
1260 칼리 리눅스(Kali Linux) 커널 업데이트 - 4.15.11-1kali1 3 0 la_Nube 2018.03.31 4559
1259 [게임]Spec Ops:The Line 리눅스버전 설치 및 한글패치 방법 6 0 Moordev 2018.03.30 1741
1258 전 세계 리눅스 서버 노리는 공격, 9개월 동안 몰랐다 5 0 la_Nube 2018.03.30 1285
1257 리눅스 서버 훔쳐 채굴하는 자들, 이미 7만 4천 달러 벌어 1 0 la_Nube 2018.03.30 1283
1256 “페이스북 데이터 유출 걱정 끝” 파이어폭스, 쿠키 격리 확장 프로그램 공개 5 0 행복한펭귄 2018.03.29 1304
1255 [게임] 시드 마이어의 문명 VI 흥망성쇠 리눅스 버전 공개 4 file 0 행복한펭귄 2018.03.29 1245
» OpenSSL에서 서비스 거부(DoS) 등 3건의 취약점 발견 7 0 la_Nube 2018.03.29 1382
1253 + Latest Tweets ? 0 세벌 2018.03.29 1186
Board Pagination Prev 1 ... 60 61 62 63 64 65 66 67 68 69 ... 128 Next
/ 128
CLOSE