개요

• gnutls 라이브러리의 인증서 검증 우회 취약점을 해결한 보안 업데이트 발표[1][2]
• 공격자가 해당 취약점을 악용할 경우, 인증서 검증 우회를 통해 MITM 공격을 할 수 있음

설명

• gnutls의 1개 취약점을 해결한 보안 업데이트가 발표됨
• 인증서 검증 우회를 통한 MITM 공격이 가능한 취약점 (CVE-2014-0092)

해당 시스템

• 영향 받는 소프트웨어
  • GnuTLS 3.1.21 및 이전 버전
  • GnuTLS 3.2.11 및 이전 버전

해결 방안

• GnuTLS 3.1.21 및 이전 버전 사용자
  • GnuTLS 3.1.22 버전으로 업그레이드(http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/7340)
• GnuTLS 3.2.11 및 이전 버전 사용자
  • GnuTLS 3.2.12 버전으로 업그레이드(http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/7341)

용어 정리

• gnutls 라이브러리 : SSL/TLS를 구현할 때 사용하는 라이브러리
  ※ SSL/TLS : 인터넷 서비스에서 데이터를 안전하게 주고받기 위한 프로토콜
• MITM(Man-In-The-Middle) 공격 : 통신하고 있는 두 당사자 사이에 끼어들어 교환하는 정보를 자기 것과 바꾸어버림으로써 들키지 않고 도청을 하거나 통신내용을 바꾸는 해킹 기법

기타 문의사항

• 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.gnutls.org/security.html#GNUTLS-SA-2014-2
[2] http://www.us-cert.gov/ncas/current-activity/2014/03/05/GnuTLS-Releases-Security-Update