오픈SSL 취약점이 추가로 발견됐다. 지난 4월 하트블리드(Heartbleed) 취약점 발견 이후 재차 새로운 취약점이 발견된 것이다.
5일(현지시간) 오픈SSL 프로젝트팀은 오픈SSL 클라이언트 전체 버전과 서버 버전 일부(1.0.1, 1.0.2-β1)에서 중간자공격(MITM) 등의 피해 소지가 있는 취약점(CVE-2014-0224)을 발견됐다고 밝혔다.
MITM이란 서버와 클라이언트 사이의 패킷을 도청하거나 조작하는 공격 행위를 뜻하는 것으로 원격조정이나 마스터키 탈취와 같은 악의적인 공격이 가능하다.
역설적이게도 SSL은 이러한 중간자공격을 막기 위해 등장한 것이다. 이번에 발견된 버그는 마스터키 길이가 0으로 설정될 때 나타날 수 있는 것으로 암호 변경규격(Change Cipher Spec)과 핸드쉐이크(HandShake) 프로토콜이 완벽한 통신을 이뤄내지 못할 때 발생한다.
이외에도 원격코드 실행 취약점(CVE-2014-0195)에 대한 취약점과 오픈SSL 서비스거부(DoS) 공격 취약점(CVE-2014-0221, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470) 등도 함께 발견됐다.
관련기사
- 제2의 '하트블리드' 막기위해 IT거인들 뭉쳤다2014.06.06
- "하트블리드 취약점 해결, 몇달은 걸릴 것"2014.06.06
- 하트블리드 후폭풍, 대안으로 '리브레SSL' 주목2014.06.06
- 하트블리드 때문에 인터넷 속도 느려져2014.06.06
이 취약점은 일본 침해사고대응팀(JP/CERT)이 처음 발견했다. ▶자세히 보기
오픈SSL 프로젝트팀은 이에 따라 이를 보안한 패치를 만들어 배포했다. 오픈SSL 0.9.8 버전 사용자는 0.9.8za로, 1.0.0 사용자는 1.0.0m으로, 1.0.1 사용자는 1.0.1h로 패치하면 된다. 패치는 오픈SSL 프로젝트팀 사이트에서 내려 받을 수 있다.