OpenSSL CCS Injection Vulnerability (CVE-2014-0224) 경고

업데이트됨 -

Red Hat 은 최근 Red Hat 제품에 탑재되는 OpenSSL 의 모든 버전에 영향을 미치는 취약점을 발표했습니다. CVE-2014-0224 는 암호화된 연결에 대한 man-in-the-middle 공격을 수락할 수 있습니다.

SSL/TLS 연결은 일반적으로 의도된 송신자와 수신자가 데이터를 해독할 수 있는 두 당사자간을 지나가는 암호화된 트래픽을 수락합니다. man-in-the-middle 공격에서, 공격자는 해독하고 볼수 있으며, 할 수있는 암호화된 데이터 스트립을 가로챌 수 있습니다. 그리고 나서, 데이터를 변조할 수 있습니다.

이 취약점은 단지 서버와 클라이언트 둘다 본 이슈에 취약하다면 공격되어 질 수 있습니다. 둘중 하나만 취약하면, 공격에 영향이 없습니다.


주의: 이 취약점은 서버 혹은 클라이언트 쪽 키교환 재료를 푸는데 사용되지는 않습니다. 이 말은, 이미 존재하는 서명된 인증서가 소프트웨어가 업데이트되고 나서 교체될 필요가 없다는 것을 의미합니다.

시스템에 어떤 영향이 있습니까?

본 이슈는 OpenSSL 을 사용하는 제품에 영향이 있습니다.

아래 열거된 버전 이하 버전은 취약합니다.

상세한 정보는 아래의 적절한 업데이트 문서를 확인하시기 바랍니다.

영향 받는 제품들:

Product/Channel Affecting Fixed in package Remediation details
Red Hat Enterprise Linux 7 openssl-1.0.1e openssl-1.0.1e-34.el7_0.3 Red Hat Enterprise Linux
openssl098e openssl098e-0.9.8e-29.el7_0.2
Red Hat Enterprise Linux 6 openssl-1.0.1e openssl-1.0.1e-16.el6_5.14 Red Hat Enterprise Linux
openssl098e openssl098e-0.9.8e-18.el6_5.2
openssl-1.0.0 openssl-1.0.1e-16.el6_5.14
Red Hat Storage 2.1 openssl-1.0.1e openssl-1.0.1e-16.el6_5.14 Red Hat Storage 2.1
Red Hat Enterprise Virtualization openssl-1.0.1e openssl-1.0.1e-16.el6_5.14 Red Hat Enterprise Virtualization
Red Hat Enterprise Linux 5 openssl-0.9.8e openssl-0.9.8e-27.el5_10.3 Red Hat Enterprise Linux
openssl097a openssl097a-0.9.7a-12.el5_10.1
Red Hat Enterprise Linux 4 Extended Lifecycle Support openssl-0.9.7a openssl-0.9.7a-43.22.el4 Red Hat Enterprise Linux
Red Hat Enterprise Linux 5.6 Long Life

openssl-0.9.8e openssl-0.9.8e-12.el5_6.12 Red Hat Enterprise Linux
Red Hat Enterprise Linux 5.9 Extended Update Support

openssl-0.9.8e openssl-0.9.8e-26.el5_9.4 Red Hat Enterprise Linux
Red Hat Enterprise Linux 6.2 Advanced Update Support

openssl-1.0.0 openssl-1.0.0-20.el6_2.7 Red Hat Enterprise Linux
Red Hat Enterprise Linux 6.3 Extended Update Support openssl-1.0.0 openssl-1.0.0-25.el6_3.3 Red Hat Enterprise Linux
Red Hat Enterprise Linux 6.4 Extended Update Support openssl-1.0.0 openssl-1.0.0-27.el6_4.4 Red Hat Enterprise Linux
Red Hat JBoss Middleware products JBoss EAP 5.2   Red Hat JBoss Middleware
JBoss EAP 6.2 CP03 / 6.2 CP03
JBoss EWS 2.0.1
JBoss EWP 5.2

위에 열거한 실제 운용중인 어떤 시스템도 클라이언트로써 취약한 서버에 대한 연결인지 결정할 수 없기 때문에,
단지 조심스러운 해결책은 어떤 취약한 버전을 동작하는 시스템도 업데이트를 확실히 해야합니다.

자주 묻는 질문들

이 FAQ 는 OpenSSL 에 CVE-2014-0224 취약점을 위함이며, "CCS Injection" 으로 불리기도 합니다.

본 이슈가 HeartBleed 와 비슷한가요?

아닙니다, 이 새로운 이슈는 OpenSSL 이 man-in-the-middle 공격을 가능하게 한다는 것이 밝혀졌습니다. 위에 언급한 상세한 정보를 확인하시기 바랍니다.

본 이슈가 HeartBleed 보다 안좋은가요?

HeartBleed 는 인터넷에 어떤 누구던지 서버를 취약하게 할 수 있습니다. 본 이슈는 공격자가 취약하게 만들고자, 실시간으로 네트워크 트래픽을 가로채거나 변조할 수 있습니다. 이 것은, 본 취약점이 발생하게하는 위험을 줄입니다만, 불가능하게 하지는 않고, 업데이트는 취약점 영향의 어려움과 상관없이 첫번째 해결책이 되어야 합니다.

인증서 재생성이 필요할까요?

아닙니다, 본 이슈는 인증서 혹은 개인 키 정보 누설에 영향이 없습니다.

내가 본 이슈에 취약한지 어떻게 알 수 있을까요? 원격으로 이슈의 존재를 확인할 수 있을까요?

OpenSSL 의 모든 버전이 본 이슈에 취약합니다. 제품에 해당하는 관련된 솔루션을 확인하시기 바랍니다:
Red Hat Enterprise Linux
Red Hat Enterprise Virtualization
Red Hat JBoss Middleware
Red Hat Storage

Red Hat Access Labs 는 본 취약점에 대해 패치가 되어있는지 확인하기 위하여 CCS Injection Detector 를 발표했습니다.

업데이트가 제대로 동작하는지 어떻게 확인할 수 있을까요?

Access Labs 에서 제공하는 CCS Injection Detector 를 이용하여 성공적으로 적용되었는지 확인 가능합니다.

업데이트 없이 본 이슈를 완화시키는 방법이 있을까요?

본 이슈를 위한 알려진 완화법은 없습니다. OpenSSL 패키지를 업데이트하고 영향받는 서비스들을 재시작하게 하는 것이 유일한 방법입니다.

본 이슈가 다른 TLS 라이브러리에도 영향이 있을까요?

Red Hat 은 본 이슈를 위해 NSS 와 GnuTLS 라이브러리를 검토하였습니다. 저희는 이 라이브러리들이 특정 이슈에 의해 영향받지 않는다고 결정하였습니다.

제가 1.0.1 버전을 사용중입니다만, OpenSSL 패키지 업데이트가 필요할까요?

Red Hat 은 모든 사용자들이 OpenSSL 패키지를 버전과 상관없이 업데이트 해야한다고 제안합니다. 더 자세한 사항은 위의 글을 확인하세요.

본 이슈가 야생에서도 취약할까요?

본 이슈가 공개될시점에, 저희는 본 이슈에 대해 어떤 공개적인 취약점도 알아채지 못하였고, 야생에서도 취약하다고 느끼지 않았습니다. 저희는 이 취약공격이 본 이슈에 쓰여질 수 있다고 믿고 있습니다만, 취약공격은 공격자가 실시간에 네트워크 트래픽을 가로채고 변조하는 것을 필요로 합니다.

Red Hat 은 언제 본 이슈에 대해 알았습니까?

OpenSSL 팀은 2014년 5월 1일 본 이슈에 대해 인지를 하였고, Red Hat 과 다른 OS 배포자들과 2014년 6월 2일에 연락을 하였습니다. 본 이슈는 2014년 6월 5일에 공개되었습니다.

공격자가 본 이슈를 가지고 실제로 무엇을 할 수 있죠?

본 이슈는 공격자가 취약한 OpenSSL 서버와 통신을 하는 OpenSSL 클라이언트에 man-in-the-middle 공격을 가능하게 할 수 있습니다. 공격자는 잠재적으로 암호화된 트래픽을 열람하거나 변조할 수 있으며, 통신하는 주체들 사이의 네트워크 트래픽을 접근하는 방법이 필요할 것이며, 변조할 수 있습니다. 이 OpenSSL 이슈 자체가 네트워크 트래픽에 접근하는 단계를 제공하지는 않습니다.

왜 레드햇 보안 자문들이 다양한 CVE ID 를 보여줄까요?

OpenSSL 은 최신 업데이트를 포함한 여러가지 이슈를 수정합니다. Red Hat 의 업데이트들은 다양한 OpenSSL 버전에 연관되기 때문에, 이슈를 수정합니다. 본 이슈는 아주 심각하고 추가적인 정보를 포함하고 있기 때문에 독립적입니다.