데비안 계열 Open SSL 보안 취약점 업데이트 권고

제목 
 데비안 계열 Open SSL 보안 취약점 업데이트 권고
 
 
등록일 
 2008/05/19

자료제공 : 한국정보보호진흥원 인터넷침해사고대응지원센터(KRCERT)
 
 
내용 
 □ 개요
   o 데비안 계열 리눅스 OS에서 사용중인  OpenSSL 패키지에서 난수 생성기 취약점이 발견되어,
     악의적인 공격(Brute Force)이 성공할 경우, 특정 어플리케이션의 암호화키 값을 공격자가 획
     득할 수 있으며, 이로 인해 중요한 데이터를 노출 당하는 등 피해가 발생할 수 있으므로 인터
     넷 이용자의 각별한 주의가 요구됨. 해당 취약점으로 인한 피해를 예방하기 위해서는 벤더에
     서 발표한 패치를 적용한 후 사용중인 키를 다시 생성해야 함.

   ※ 영향 받는 S/W목록 : 하단 "□ 해당 시스템" 참조
     - 참고로 데비안 계열 외 다른 리눅스 OS는 영향 받지 않음.

   ※ OpenSSL : 보안 통신용 오픈 라이브러리로  네트웍 소켓의 데이타 입출력을 암호화하는데 사용

□ 해당 시스템
   o Debian/Ubuntu 용으로 수정된 OpenSSL 패키지 OpenSSL 0.9.8c-1 ~ 0.9.8g-9 버전에 해당됨
      - Ubuntu Ubuntu Linux 8.04 LTS sparc
      - Ubuntu Ubuntu Linux 8.04 LTS powerpc
      - Ubuntu Ubuntu Linux 8.04 LTS lpia
      - Ubuntu Ubuntu Linux 8.04 LTS i386
      - Ubuntu Ubuntu Linux 8.04 LTS amd64
      - Ubuntu Ubuntu Linux 7.10 sparc
      - Ubuntu Ubuntu Linux 7.10 powerpc
      - Ubuntu Ubuntu Linux 7.10 lpia
      - Ubuntu Ubuntu Linux 7.10 i386
      - Ubuntu Ubuntu Linux 7.10 amd64
      - Ubuntu Ubuntu Linux 7.04 sparc
      - Ubuntu Ubuntu Linux 7.04 powerpc
      - Ubuntu Ubuntu Linux 7.04 i386
      - Ubuntu Ubuntu Linux 7.04 amd64
      - Debian Linux 4.0 sparc
      - Debian Linux 4.0 s/390
      - Debian Linux 4.0 powerpc
      - Debian Linux 4.0 mipsel
      - Debian Linux 4.0 mips
      - Debian Linux 4.0 m68k
      - Debian Linux 4.0 ia-64
      - Debian Linux 4.0 ia-32
      - Debian Linux 4.0 hppa
      - Debian Linux 4.0 arm
      - Debian Linux 4.0 amd64
      - Debian Linux 4.0 alpha
      - Debian Linux 4.0

□ 설명
   o 데비안 계열 시스템에서 취약한 라이브러리를 이용할 경우,  암호화키 값을 공격자가 획득
      할 수 있으며, 이로 인해 중요한 데이터를 노출 당할 수 있음.

□ 해결 방안
   o 데비안 계열 시스템에서 OpenSSL 0.9.8c-1 ~ 0.9.8g-9 버전 사용자는 최신 버전으로 업데이트
      할 것을 권고함
      패치 다운로드 : http://security.debian.org/pool/updates/main/o/openssh/

□ 참고 사이트
  [1] http://www.securityfocus.com/bid/29179
  [2] http://isc.sans.org/diary.html?storyid=4414

[참 고]
1. 기타 문의사항
   o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118