‘FREAK’ SSL 취약점 주의 권고

Security Notice

‘FREAK’ SSL 취약점 주의 권고

개요

  • 프랑스 국립 연구소(INRIA) 및 MS社에서는 SSL을 통해 강제로 취약한 RSA로 다운 그레이드 시킬 수 있는 취약점을 발견
※ CVE-2015-0204 : OpenSSL s3_clnt.c의 ssl3_get_key exchange 함수에서 발생하는 취약점으로 공격자가 MITM(Man In The Middle Attack)을 통해 512비트 RSA로 다운 그레이드 시켜 정보를 유출시킬 수 있는 취약점[1]
※ MS社에서는 2015. 3. 5 (미국 시간 기준) Windows 시스템이 해당 취약점의 영향 받음을 추가로 확인(CVE-2015-1637)[2]

 

해당 시스템

  • 영향을 받는 시스템
    • Openssl 0.9.8 대 0.9.8zd 이전 버전
    • Openssl 1.0.0 대 1.0.0p 이전 버전
    • Openssl 1.0.1 대 1.0.1k 이전 버전
    • 이 밖에 취약한 OpenSSL을 사용한 Apple, Google, MS社 등의 제품

 

취약점 확인절차

  • (시스템 운영자) 시스템 측면 취약점 확인
    • 아래의 명령어를 입력하여 취약점 유무 확인

    • openssl s_client –connect [web site명 입력]:433 - cipher EXPORT

CVE-2015-0204에 취약하지 않은 화면

[CVE-2015-0204에 취약하지 않은 화면]

CVE-2015-0204에 취약한 화면

[CVE-2015-0204에 취약한 화면]

 

해결방안

  • (시스템 운영자) 해당 취약점에 영향 받는 버전 사용자
    • OpenSSL 1.0.2 버전으로 업그레이드(http://www.openssl.org/source/)
    • 버전 업그레이드가 어려운 경우, OpenSSL 'RSA_EXPORT Cipher Suites'를 지원하거나 클라이언트로 'RSA_EXPORT suite'를 전송할 수 있는 모든 기능을 비활성화 시킬 것을 권장

                  ※ https://mozilla.github.io/server-side-tls/ssl-config-generator/ 사이트를 참고하여 권장사항으로 설정 [3]

 https://mozilla.github.io/server-side-tls/ssl-config-generator/  사이트 켑처 화면

  • (윈도우 시스템 사용자) 해당 취약점에 영향 받는 버전 사용자
  • (일반 사용자) 해당 취약점에 영향 받는 버전 사용자
    • Windows(2015.3.10, 미국시간기준), OS X, iOS(2015.3.9., 미국시간기준)는 현재 패치가 배포되어 업데이트 권고 [4][5]
    • Chrome 41(http://www.google.co.kr/chrome/), Opera 28(http://www.opera.com/ko) 버전으로 업그레이드 [6]
    • 안드로이드의 기본 브라우저 사용자는 취약점이 해결될 때 까지 크롬 등 안전한 브라우저 사용 권장
구분windowsOS XiOSAndroid
Internet Explorer안전
(3.10 패치발표)
   
Chrome(v41)안전안전안전안전
(Chrome Beta 41)
Safari 안전
(3.10 패치발표)
안전
(3.10 패치발표)
 
Opera(v28)안전안전
(3.10 패치발표)
안전
(3.10 패치발표)
안전
(3.10 패치발표)
Android browser   취약
Firefox안전안전 안전

   [브라우저별 취약점 현황(2015.311 기준)]

 

용어 설명

  • RSA(Rivest Shamir Adleman) : 전자 상거래 등에 광범위하게 이용되는 인터넷 암호화 및 인증을 위한 암호기술의 한 종류
  • OpenSSL : SSL/TLS를 구현할 때 사용하는 오픈 소스 라이브러리
  • SSL/TLS : 인터넷 서비스에서 데이터를 안전하게 송수신하기 위한 프로토콜
  • Cipher Suites : Client가 지원하는 암호방식 목록

기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

  1. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204
  2. http://FreakAttack.com
  3. https://mozilla.github.io/server-side-tls/ssl-config-generator/
0 변경된 사항