KISA – 보안공지 – 페이지 20 – 지락문화예술공작단

웹 브라우저 암호 고도화 정책에 따른 주의 권고

2016-01-06 KENNETH 0

출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=23883 개요 MS와 Google 등 美 NIST의 권고에 따라 ‘16년 6월부터 SSL 인증서 및 코드서명 인증서 등 암호를 SHA-1에서 SHA-2로 상향예정(’16년 6월) 설명 현행 SHA-1(160비트) 기반 웹서비스 인증서 암호 체계를 ‘16년 6월부터 SHA-2(224~512비트) 기반 인증서 체계로 고도화(’16년 5월까지 SHA-1 체계 병행 허용) ‘16년 6월부터 기존 SHA-1 기반 인증서를 사용할 수 없기 때문에, 웹사이트(포털, 게임, 상거래 등) 운영자가 해당 웹서비스 인증서(SSL, 코드서명)를 신규 및 재발급, 갱신하지 않을 경우 웹사이트 접속 오류 및 실행파일 설치 오류(액티브X 등) 발생 영향받는 플랫폼 및 브라우저 플랫폼 브라우저명 SHA-2 알고리즘 미지원 플랫폼 브라우저 PC Internet Explorer Windows(XP SP2 이하) 버전 6 이하 Chrome Windows(XP SP2 이하) 버전 39 이하 FireFox Windows(XP SP2 이하) 버전 1.5 이하 Safari OS X(10.5 이하) 버전 3 이하 Opera 해당 없음 버전 6 이하 Mobile Android Browser Android(2.3이하) iOS Safari iOS 3.0 이하 Windows Mobile Internet Explorer `해당 없음 해결방안 [ more… ]

Adobe Flash Player 신규 취약점 보안 업데이트 권고

2015-12-30 KENNETH 0

Adobe Flash Player 신규 취약점 보안 업데이트 권고 출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=23863 □ 개요 o Adobe社는 Flash Player에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1] o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고 □ 설명 o Adobe Flash Player의 취약점에 대한 보안 업데이트를 발표[1] · 임의코드 실행으로 이어질 수 있는 타입 혼란 취약점(CVE-2015-8644) · 임의코드 실행으로 이어질 수 있는 정수 버퍼 오버플로우 취약점 (CVE-2015-8651) · 임의코드 실행으로 이어질 수 있는 use-after-free 취약점(CVE-2015-8634, CVE-2015-8635, CVE-2015-8638, CVE-2015-8639, CVE-2015-8640, CVE-2015-8641, CVE-2015-8642, CVE-2015-8643, CVE-2015-8646, CVE-2015-8647, CVE-2015-8648, CVE-2015-8649, CVE-2015-8650) · 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점 (CVE-2015-8459, CVE-2015-8460, CVE-2015-8636, CVE-2015-8645) □ 영향 받는 소프트웨어 o Adobe Flash Player 소프트웨어 명 동작환경 영향 받는 버전 Adobe Flash Player Desktop Runtime 윈도우즈, 맥 20.0.0.235 및 이전버전 Adobe Flash Player Extended Support Release 윈도우즈, 맥 18.0.0.268 및 이전버전 Adobe Flash Player for Google [ more… ]

Juniper ScreenOS 취약점 보안 업데이트 권고

2015-12-21 KENNETH 0

Juniper ScreenOS 취약점 보안 업데이트 권고 출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=23847 □ 개요 o Juniper社는 ScreenOS에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1] □ 설명 o ScreenOS 방화벽에 SSH 또는 TELNET 원격접속을 통한 관리자 권한 탈취가 가능한 취약점(CVE-2015-7755) o ScreenOS VPN 방화벽 암호화 데이터 트래픽을 복호화하여 스니핑이 가능한 취약점(CVE-2015-7756) □ 영향 받는 소프트웨어 o Juniper ScreenOS 6.2.0.r15 ~ 6.2.0.r18 o Juniper ScreenOS 6.3.0.r12 ~ 6.3.0.r20 □ 해결 방안 o 해당 취약점에 영향 받는 제품을 운영하고 있는 관리자는 참고사이트에 명시되어 있는 업데이트 버전을 확인하여 패치 적용 [1] □ 용어 정리 o ScreenOS : Juniper社에서 개발한 방화벽 제품에서 사용하는 운영체제 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] http://kb.juniper.net/JSA10713

BIND DNS 신규 취약점 보안 업데이트

2015-12-18 KENNETH 0

BIND DNS 신규 취약점 보안 업데이트 출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=23846 □ 개요 o DNS 서비스를 위해 주로 이용하는 BIND DNS에 원격에서 서비스 거부를 발생시킬 수 있는 취약점이 발견 □ 설명 o 잘못된 클래스 속성 데이터를 응답 패킷에서 처리할 때 발생하는 서비스 거부 취약점(CVE-2015-8000) □ 영향 받는 소프트웨어 o BIND 9.0.x ~ 9.9.8 o BIND 9.10.0 ~ 9.10.3 □ 해결 방안 o BIND 9 버전 9.9.8-P2로 업데이트 o BIND 9 버전 9.10.3-P2로 업데이트 o BIND 9 버전 9.9.8-S3로 업데이트 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] – https://kb.isc.org/article/AA-01317 – http://www.isc.org/downloads/

Apache commons-collection 라이브러리 원격코드실행 취약점 업데이트 권고

2015-11-30 KENNETH 0

□ 개요 o 자바 관련 공통 컴포넌트 개발을 위한 Apache commons-collection 라이브러리[1]에서 원격코드실행 취약점이 발견 o 공격자가 취약한 대상 서비스에 악의적인 데이터를 삽입하여 전송할 경우 시스템 명령어 실행, 악성코드 다운로드 및 실행 등 가능 □ 취약점 내용 o Apache commons-collection 라이브러리에 공격자가 원격에서 명령 실행 가능성이 있는 Serialization support 제거, 안전하지 않은 클래스 :CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, InvokerTransformer, PrototypeCloneFactory, PrototypeSerializationFactory, WhileClosure □ 영향 받는 소프트웨어 o Apache commons-collection 라이브러리 Version 3.0 ~ 4.0 o Apache commons-collection 라이브러리를 사용하는 자바 기반 애플리케이션 – Oracle WebLogic, IBM WebSphere, RedHat JBoss, Jenkins, OpenNMS 등 □ 해결 방안 o Apache commons-collection 4.1 최신버전으로 업데이트 적용 – 다운로드 링크(http://commons.apache.org/proper/commons-collections/download_collections.cgi)를 통해 최신 버전 설치 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://commons.apache.org/proper/commons-collections/ [2] https://issues.apache.org/jira/browse/COLLECTIONS-580 Source: security-notice-kisa