프랑스 국립 연구소(INRIA) 및 MS社에서는 SSL을 통해 강제로 취약한 RSA로 다운 그레이드 시킬 수 있는 취약점을 발견
※ CVE-2015-0204 : OpenSSL s3_clnt.c의 ssl3_get_key exchange 함수에서 발생하는 취약점으로 공격자가 MITM(Man In The Middle Attack)을 통해 512비트 RSA로 다운 그레이드 시켜 정보를 유출시킬 수 있는 취약점[1]
※ MS社에서는 2015. 3. 5 (미국 시간 기준) Windows 시스템이 해당 취약점의 영향 받음을 추가로 확인(CVE-2015-1637)[2]
영향을 받는 시스템
Openssl 0.9.8 대 0.9.8zd 이전 버전
Openssl 1.0.0 대 1.0.0p 이전 버전
Openssl 1.0.1 대 1.0.1k 이전 버전
이 밖에 취약한 OpenSSL을 사용한 Apple, Google, MS社 등의 제품
(시스템 운영자) 시스템 측면 취약점 확인
(시스템 운영자) 해당 취약점에 영향 받는 버전 사용자
버전 업그레이드가 어려운 경우, OpenSSL 'RSA_EXPORT Cipher Suites'를 지원하거나 클라이언트로 'RSA_EXPORT suite'를 전송할 수 있는 모든 기능을 비활성화 시킬 것을 권장
(윈도우 시스템 사용자) 해당 취약점에 영향 받는 버전 사용자
(일반 사용자) 해당 취약점에 영향 받는 버전 사용자
Windows(2015.3.10, 미국시간기준), OS X, iOS(2015.3.9., 미국시간기준)는 현재 패치가 배포되어 업데이트 권고
안드로이드의 기본 브라우저 사용자는 취약점이 해결될 때 까지 크롬 등 안전한 브라우저 사용 권장
RSA(Rivest Shamir Adleman) : 전자 상거래 등에 광범위하게 이용되는 인터넷 암호화 및 인증을 위한 암호기술의 한 종류
OpenSSL : SSL/TLS를 구현할 때 사용하는 오픈 소스 라이브러리
SSL/TLS : 인터넷 서비스에서 데이터를 안전하게 송수신하기 위한 프로토콜
Cipher Suites : Client가 지원하는 암호방식 목록
한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
)