openssl

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE in PHP (after update centos-7.4)

2017-11-14 KENNETH 0

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE CentOS-7.4 업데이트 이후 PHP측의 별다른 설정 내지는 설치 관련 작업 이슈가 없었음에도 발생   1. 테스트 코드 <? error_reporting(E_ALL); ini_set("display_errors", 1); var_dump(openssl_get_cert_locations()); fsockopen("ssl://fcstdpay.inicis.com",443); ?> 정작 작동을 안하는 부분은 fsockopen(”ssl://fcstdpay.inicis.com”,443); 이 부분으로.. 상단은 그냥 에러 참고용…     2. 발생 에러 PHP Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/jirak.net/public_html/bb.php on line 4 PHP Stack trace: PHP 1. {main}() /home/jirak.net/public_html/bb.php:0 PHP 2. fsockopen() /home/jirak.net/public_html/bb.php:4 Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/jirak.net/public_html/bb.php on line 4 Call Stack: 0.0003 348216 1. {main}() /home/jirak.net/public_html/bb.php:0 0.0004 348696 2. fsockopen() /home/jirak.net/public_html/bb.php:4 PHP Warning: fsockopen(): Failed to enable crypto in /home/jirak.net/public_html/bb.php on line 4 PHP Stack trace: PHP 1. {main}() /home/jirak.net/public_html/bb.php:0 PHP 2. fsockopen() /home/jirak.net/public_html/bb.php:4 Warning: fsockopen(): Failed to enable crypto in /home/jirak.net/public_html/bb.php on line 4 [ more… ]

No Image

OpenSSL 다중 취약점 보안업데이트 권고

2016-09-23 KENNETH 0

출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24588   □ 개요 o OpenSSL에서 발생한 서비스 거부 공격 취약점, Out-of-bounds 읽기/쓰기 취약점 등 총 14개의 취약점을 보완한 보안 업데이트를 발표함[1] □ 설명 o 클라이언트에서 많은 양의 OCSP 요청을 보낼 경우 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6304) o 특수하게 조작 된 레코드를 보낼 경우 SSL_peek의 결함으로 인해 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6305) o 3DES 대칭암호의 암호스위트를 지원하는 SSL/TLS 프로토콜에서 SWEET32 공격이 가능한 취약점(CVE-2016-2183) o MDC2_Update() 함수에서 오버플로우가 발생 해 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-6303) o tls_decrypt_ticket 함수에서 티켓 길이 검증이 미흡하여 서비스 거부가 발생할 수 있는 취약점(CVE-2016-6302) o BN_bn2dec() 함수에서 리턴 값에 대한 체크를 하지 않아 Out-of-bounds 쓰기가 가능한 취약점(CVE-2016-2182) o TS_OBJ_print_bio() 함수에서 Out-of-bounds 읽기가 발생할 수 있는 취약점(CVE-2016-2180) o 포인터 연산에서 발생하는 문제로 서비스 거부가 발생할 수 있는 취약점(CVE-2016-2177) o DSA 구현상에 결함으로 공격자가 DSA 개인키를 추출할 수 있는 취약점(CVE-2016-2178) o 악의적인 사용자가 많은 DTLS 세션을 유지하여 [ more… ]

No Image

OpenSSL 긴급 보안 업데이트

2016-03-03 KENNETH 0

출처 : http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24083 OpenSSL 긴급 보안 업데이트 □ 개요 o 3월 1일(현지시간) 오픈SSL은 SSLv2 규격(Protocol)에 대한 긴급 업데이트 발표[1] o SSL 취약점을 이용한 신종 공격 방식인 DROWN, CacheBleed에 대한 보안 업데이트 등 – DROWN(Decrypting RSA with Obsolete and Weakened eNcryption) – CacheBleed: 인텔 프로세서의 Cache-bank 충돌로 인한 정보 노출을 이용한 부채널 공격 □ 영향 받는 사용자 – OpenSSL 1.0.2 이전 버전 사용자: 1.0.2g로 업데이트 – OpenSSL 1.0.1 이전 버전 사용자: 1.0.1s로 업데이트 □ 업데이트 내용 o SSLv2 프로토콜 비활성화 기본 설정 및 SSLv2 EXPORT 암호화 제거 등 □ 취약점 내용 및 권고 사항 o DROWN: 낡고 취약한 암호화를 통한 RSA 복호화 – RSA(Rivest Shamir Adleman): 공개키 암호화 알고리즘의 하나 CVEs 심각도 내용 비고 CVE-2016-0800 높음 SSLv2를 이용한 TLS에 대한 프로토콜 간 공격 DROWN CVE-2016-0705 낮음 DFB, 발생 빈도 낮음 CVE-2016-0798 낮음 SRP 데이터베이스에서의 메모리 누수 CVE-2016-0797 낮음 널 포인터 역참조 및 힙 커럽션 [ more… ]

No Image

OpenSSL 취약점 보안업데이트 권고

2016-02-01 KENNETH 0

□ 개요 o OpenSSL에서는 키 교환에서 중간자 공격이 가능한 취약점, SSLv2의 핸드셰이크 전송에서 중간자 공격이 가능한 취약점 등 2개의 취약점을 보완한 보안업데이트를 발표[1] □ 설명 o TLS 프로토콜의 Diffie-Hellman 키 교환에서 소수 값 처리 중 MITM(man-in-the-middle)공격이 가능한 취약점(CVE-2016-0701) o SSLv2을 사용할 경우 조작된 핸드셰이크 전송을 통한 MITM(man-in-the-middle) 공격이 가능한 취약점(CVE-2015-3197) □ 해당 시스템 o 영향 받는 제품 및 버전 – OpenSSL 1.0.2 대 버전 – OpenSSL 1.0.1 대 버전 □ 해결 방안 o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2] – OpenSSL 1.0.2 사용자 : 1.0.2f로 업데이트 – OpenSSL 1.0.1 사용자 : 1.0.1r로 업데이트 □ 용어 설명 o Diffie-Hellman 키 교환 : 암호화 되지 않은 통신망에서의 공통의 비밀 키 공>유를 위한 알고리즘 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://www.openssl.org/news/secadv/20160128.txt [2] https://www.openssl.org/

No Image

openssl Alternative chains certificate forgery (CVE-2015-1793)

2015-07-22 KENNETH 0

  출처 : http://openssl.org/news/secadv_20150709.txt 엇.. 언제 이런 이슈가 나왔지??? 하고 뒤늦게 알게 된후.. centos6 centos7 모두 업데이트 기록을 조사해 봤으나 관련 이슈로 업데이트 된 기록이 없음.. 자세히 살펴보니 1.0.2c, 1.0.2b, 1.0.1n, 1.0.1o 이렇게 4가지 버전만 해당된다고… 다행인지 centos는 해당 버전을 사용하지 않기 때문에 비껴감.. ㅋㅋㅋ   원문 OpenSSL Security Advisory [9 Jul 2015] ======================================= Alternative chains certificate forgery (CVE-2015-1793) ====================================================== Severity: High During certificate verification, OpenSSL (starting from version 1.0.1n and 1.0.2b) will attempt to find an alternative certificate chain if the first attempt to build such a chain fails. An error in the implementation of this logic can mean that an attacker could cause certain checks on untrusted certificates to be bypassed, such as the CA flag, enabling them to use a valid leaf certificate to act as a CA and “issue” an invalid certificate. This issue will impact any [ more… ]