KISA – 보안공지

kisa-security-notice

No Image

OpenSSL 신규 취약점 보안 업데이트 권고

2016-09-30 KENNETH 0

출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24604   □ 개요 o OpenSSL에서 임의코드 실행 및 서비스거부 공격이 가능한 취약점을 해결한 보안업데이트를 발표[1] – 해당 취약점은 OpenSSL에서 2016년 9월 22일(현지시간)에 제공 된 업데이트 버전에서 발생 □ 설명 o 원격에서 특수하게 조작 된 TLS 메시지를 전송할 경우 발생하는 Use After Free 취약점(CVE-2016-6309) o CRL 기능에서 발생하는 NULL 포인터 역참조 취약점(CVE-2016-7052) □ 해당 시스템 o 영향을 받는 제품 – OpenSSL 1.1.0a (CVE-2016-6309) – OpenSSL 1.0.2i (CVE-2016-7052) □ 해결 방안 o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2] – OpenSSL 1.1.0a 사용자 : 1.1.0b로 업데이트 – OpenSSL 1.0.2i 사용자 : 1.0.2j로 업데이트 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://www.openssl.org/news/secadv/20160926.txt [2] https://www.openssl.org/source/

No Image

OpenSSL 다중 취약점 보안업데이트 권고

2016-09-23 KENNETH 0

출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24588   □ 개요 o OpenSSL에서 발생한 서비스 거부 공격 취약점, Out-of-bounds 읽기/쓰기 취약점 등 총 14개의 취약점을 보완한 보안 업데이트를 발표함[1] □ 설명 o 클라이언트에서 많은 양의 OCSP 요청을 보낼 경우 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6304) o 특수하게 조작 된 레코드를 보낼 경우 SSL_peek의 결함으로 인해 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6305) o 3DES 대칭암호의 암호스위트를 지원하는 SSL/TLS 프로토콜에서 SWEET32 공격이 가능한 취약점(CVE-2016-2183) o MDC2_Update() 함수에서 오버플로우가 발생 해 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-6303) o tls_decrypt_ticket 함수에서 티켓 길이 검증이 미흡하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6302) o BN_bn2dec() 함수에서 리턴 값에 대한 체크를 하지 않아 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-2182) o TS_OBJ_print_bio() 함수에서 Out-of-bounds 읽기가 발생할 수 있는 취약점(CVE-2016-2180) o 포인터 연산에서 발생하는 문제로 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2177) o DSA 구현상에 결함으로 공격자가 DSA 개인키를 추출할 수 있는 취약점(CVE-2016-2178) o 악의적인 사용자가 많은 DTLS 세션을 유지하여 [ more… ]

No Image

Cisco 제품군 다중 취약점 보안 업데이트 권고

2016-09-23 KENNETH 0

출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24587   □ 개요 o Cisco社는 자사의 제품에 영향을 주는 취약점을 해결한 보안 업데이트를 발표 o 공격자는 해당 취약점을 악용해 원격코드실행, 서비스 거부 등의 피해를 발생시킬 수 있으므로, 최신버전으로 업데이트 권고 □ 설명 o  Cisco 클라우드 서비스 플랫폼 2100 커맨드 인젝션 취약점(CVE-2016-6373) [1] o  Cisco 클라우드 서비스 플랫폼 2100 원격 코드 실행 취약점(CVE-2016-6374) [2] o  Cisco IOS, IOS XE IOX 커맨드 인젝션 취약점(CVE-2016-6414) [3] o  Cisco Firepower Management Center 및 FireSIGHT 시스템 소프트웨어 SSL 우회 취약점(CVE-2016-6411) [4] o  Cisco IOS, IOS XE 소프트웨어 서비스 거부 취약점(CVE-2016-6409) [5] o  Cisco Prime Home 정보 노출 취약점(CVE-2016-6408) [6] o  CAF 헤더 주입 취약점(CVE-2016-6412) [7] ※ CAF: Cisco Application-hosting Framework o  Cisco APIC 권한 상승 취약점(CVE-2016-6413) [8] ※ APIC: Application Policy Infrastructure Controller o  다중 Cisco 제품군 중간자 공격 취약점(CVE-2015-6358) [9] □ 해당 시스템 o 영향을 받는 제품 – 참고사이트에 명시되어 있는 ‘Affected [ more… ]

No Image

Firefox 보안 업데이트 권고

2016-09-21 KENNETH 0

출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24586   □ 개요 o 모질라 재단에서 Firefox와 Firefox ESR 브라우저의 다수의 취약점을 해결한 보안 업데이트를 발표[1][2] □ 설명 o Firefox의 nsBMPEncder::AddImageFrame에서 발생하는 Heap buffer overflow 취약점(CVE-2016-5278) 외 19건 □ 해결 시스템 o 영향 받는 제품 및 버전 제품명 영향 받는 버전 해결 버전 Firefox 49.0 이전버전 49.0 Firefox ESR(Extended Support Release) 45.4 이전버전 45.4 □ 해결 방안 o Firefox를 실행하여 메뉴버튼을 클릭하고, 도움말 클릭 후 “Firefox 정보” 선택 o Firefox 정보 창이 열리면 자동으로 업데이트를 확인하고 새버전 다운로드 o 다운로드가 완료되고 설치 준비가 완료되면 “Firefox를 지금 다시 시작” 버튼을 클릭 ※ 위와 같은 방법으로 업데이트가 시작되지 않거나 완료되지 않는다면 최신 Firefox를 다운받아 재설치 권고 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://www.mozilla.org/en-US/security/advisories/mfsa2016-85/ [2] https://www.mozilla.org/en-US/security/advisories/mfsa2016-86/

No Image

Apple (OS X Server, macOS Sierra, Safari) 보안 업데이트 권고

2016-09-21 KENNETH 0

출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24585   □ 개요 o Apple 社에서 ‘macOS Sierra’의 정식버전을 배포 하면서 자사 제품에 대해 다수의 취약점을 해결한 보안업데이트를 공지[1][2][3] o 공격자가 취약점을 이용하여 피해를 발생시킬 수 있어 해당 Apple 제품들을 사용하는 이용자들은 최신버전으로 업데이트 권고 □ 내용 o OS X의 HTTP_PROXY 환경변수에서 발생하는 중간자 공격 취약점(CVE-2016-4694) 외 1건 o macOS Sierra의 AppleEFIRuntime에서 발생하는 임의코드 실행 취약점(CVE-2016-4696) 외 64건 o Safari의 Webkit에서 발생하는 임의 코드 실행 취약점 (CVE-2016-4733) 외 20건 □ 대상 시스템 o OS X Server 5.2 o macOS Sierra 10.12 – OS X EI Captian 10.11.6 이하 버전 o Safari 10 – OS X Yosemite 10.10.5 이하 버전 – OS X EI Captian 10.11.6 이하 버전 □ 해결 방안 o OS X, macOS, Safari 사용자 – 홈페이지 직접 설치 : http://support.apple.com/downloads/ 링크에서 해당 버전을 다운로드하여 업데이트 진행 – 맥 앱스토어 이용 : 애플 메뉴에서 [소프트웨어 업데이트] 선택 [ more… ]