오픈SSL 취약점이 추가로 발견됐다. 지난 4월 하트블리드(Heartbleed) 취약점 발견 이후 재차 새로운 취약점이 발견된 것이다.
5일(현지시간) 오픈SSL 프로젝트팀은 오픈SSL 클라이언트 전체 버전과 서버 버전 일부(1.0.1, 1.0.2-β1)에서 중간자공격(MITM) 등의 피해 소지가 있는 취약점(CVE-2014-0224)을 발견됐다고 밝혔다.
MITM이란 서버와 클라이언트 사이의 패킷을 도청하거나 조작하는 공격 행위를 뜻하는 것으로 원격조정이나 마스터키 탈취와 같은 악의적인 공격이 가능하다.
![](https://image.zdnet.co.kr/2014/04/09/yusNKEya5OukHfrD43lG.jpg)
역설적이게도 SSL은 이러한 중간자공격을 막기 위해 등장한 것이다. 이번에 발견된 버그는 마스터키 길이가 0으로 설정될 때 나타날 수 있는 것으로 암호 변경규격(Change Cipher Spec)과 핸드쉐이크(HandShake) 프로토콜이 완벽한 통신을 이뤄내지 못할 때 발생한다.
이외에도 원격코드 실행 취약점(CVE-2014-0195)에 대한 취약점과 오픈SSL 서비스거부(DoS) 공격 취약점(CVE-2014-0221, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470) 등도 함께 발견됐다.
관련기사
- 제2의 '하트블리드' 막기위해 IT거인들 뭉쳤다2014.06.06
- "하트블리드 취약점 해결, 몇달은 걸릴 것"2014.06.06
- 하트블리드 후폭풍, 대안으로 '리브레SSL' 주목2014.06.06
- 하트블리드 때문에 인터넷 속도 느려져2014.06.06
이 취약점은 일본 침해사고대응팀(JP/CERT)이 처음 발견했다. ▶자세히 보기
오픈SSL 프로젝트팀은 이에 따라 이를 보안한 패치를 만들어 배포했다. 오픈SSL 0.9.8 버전 사용자는 0.9.8za로, 1.0.0 사용자는 1.0.0m으로, 1.0.1 사용자는 1.0.1h로 패치하면 된다. 패치는 오픈SSL 프로젝트팀 사이트에서 내려 받을 수 있다.