"OpenSSL 0-Length"가 포함된 취약점 보고서가 있습니다. 이는 무엇을 의미하며 어떻게 해결합니까? [폐쇄]

"OpenSSL 0-Length"가 포함된 취약점 보고서가 있습니다. 이는 무엇을 의미하며 어떻게 해결합니까? [폐쇄]

"OpenSSL 0-Length"는 이 문제를 어떻게 해결합니까?

답변1

먼저 취약점의 CVE 번호를 찾으세요. 빠른 Google 검색에 따르면 "OpenSSL 0-length"는 올해 2월에 출시된 CVE-2019-1559입니다.

모든 엔터프라이즈 Linux 배포판(또는 기타 운영 체제)에는 CVE 번호별 보안 패치/글머리 기호 목록이 있거나 특정 CVE로 식별된 취약점을 수정하는 보안 패치를 찾는 다른 방법이 있어야 합니다.

벤더 중립적인 취약점 데이터베이스도 있습니다.예를 들면 이런 것입니다.여기에는 공급업체별 보안 게시판에 대한 링크가 포함되어 있는 경우가 많습니다. 배포판에 적용되는 게시판을 찾으면 유지 관리 가능한 방식으로 취약점을 수정하는 데 필요한 정확한 정보를 얻을 수 있습니다.

취약성 데이터베이스에는 필요한 경우 취약성의 특성에 대한 간단한 설명도 포함되어 있습니다. 이 경우 OpenSSL은 수신된 암호화된 트래픽의 여러 유형의 오류에 다르게 반응하며, 공격자가 이 차이를 감지할 수 있는 경우 다음과 같이 할 수 있습니다. 특정 조건에서 암호화된 데이터를 해독하는 데 악용됩니다.

설명을 통해 이 취약점을 해결할 수 있는 두 가지 가능한 방법이 있다고 추측할 수 있습니다. 1.) 모든 암호 해독 오류에 균일하게 응답하도록 OpenSSL을 패치하거나, ​​2.) 암호 해독 유형이 누출되지 않도록 OpenSSL을 사용하는 모든 응용 프로그램을 패치합니다. 공격자 암호 해독 오류를 보냅니다. 둘 다 분명히 바람직하지만 1) 동시에 많은 응용 프로그램에 대한 빠른 솔루션을 제공하므로 아마도 기본 솔루션일 것입니다.

또한 취약점 라이브러리는 OpenSSL 버전 1.0.2~1.0.2q에 취약점이 존재함을 나타냅니다. 따라서 다음을 포함하는 운영 체제 업데이트를 설치해야 합니다.누구나OpenSSL 1.0.2r 이상,또는CVE-2019-1559에 대한 백포트 수정 사항을 포함하도록 명시적으로 명시된 모든 OpenSSL 1.0.2 버전.

관련 정보