OpenSSL 취약점 점검 가이드
SSL(Secure Sockets Layer) / TLS(Transport Layer Security)
인터넷 상의 보안 통신 표준, 데이터를 암호화 하는 프로토콜
네트워크 구간에서의 데이터를 암호화 하여 중간에 데이터가 탈취되거나 도청될 때 데이터를 주고받는 당사자 외에는 복호화 할 수 없음.
인증 - 무결성 - 기밀성을 보장함
OpenSSL
C언어로 되어 있는 공개 암호화 라이브러리, 비밀키 암호화/공개키 암호화/MAC/키 관리 SSL,TLS에서 사용되는 거의 모든 암호화 알고리즘이 구현되어 있음
오픈소스 프로젝트로 개발되어 여러 사람들에게 안정성이 인증되었고, 무료로 사용할 수 있을 뿐만 아니라 제공되는 기능들은 많은 소프트웨어에서 사용할 정도의 보안성을 가지고 있음
발생하는 취약점 리스트
- Heartbleed -
-Poodle
https://itinformation.tistory.com/591
SSL 취약점 (HeartBleed, Poodle 취약점)
heartBleed (CVE-2014-0160) - 개요 : SSL을 사용한 통신 과정에는 클라이언트와 서버의 연결 지속성을 유지하기 위해 HeartBeat를 사용하는데, 이 과정에서 경계값을 제대로 검증하지 않아 서버의 메모리가
itinformation.tistory.com
- FREAK (CVE-2015-0204) -
>> FREAK(Factoring Attack on RSA-EXPORT Keys)약자로 SSL 서버가 Export-grade RSA(최대 512bit 암호화 키를 사용하는 약한 암호화 방식)를 허용하도록 하는 함수(ssl3_get_key_exchange)에서 발생하는 취약점
>> 공격자는 SSL 서버가 Export-grade RSA를 허용하도록 다운그레이드시킨 후, Brute-force 복호화 공격을 통하여 RSA키를 얻어 MITM 공격을 수행 가능
점검방법
>> SSLLABS 사용 :https://www.ssllabs.com/
>> sslscan 사용 : sslscan --target <host:port>
대응방법
- 최신버전의 OpenSSL을 유지한다.
>> 설정 참고 : https://syslink.pl/cipherlist/