신규 취약점 보안 업데이트 권고
9월 22일 제공 업데이트 버전에서 발생

[보안뉴스 원병철] OpenSSL에서 임의코드 실행 및 서비스거부 공격이 가능한 취약점을 해결한 보안 업데이트를 발표했다. 해당 취약점은 OpenSSL에서 2016년 9월 22일(현지시간)에 제공된 업데이트 버전에서 발생한 것으로 알려졌다.


이번 취약점은 원격에서 특수하게 조작된 TLS 메시지를 전송할 경우 발생하는 Use After Free 취약점(CVE-2016-6309)과 CRL 기능에서 발생하는 NULL 포인터 역참조 취약점(CVE-2016-7052) 두 가지다.

또한, 취약점에 영향을 받는 제품은 ‘OpenSSL 1.1.0a(CVE-2016-6309)’와 ‘OpenSSL 1.0.2i(CVE-2016-7052)’며, OpenSSL 1.1.0a’ 사용자는 1.1.0b로, ‘OpenSSL 1.0.2i’ 사용자는 1.0.2j로 업데이트하면 된다.

이와 관련 자세한 사항은 아래 참고 사이트를 확인하거나 한국인터넷진흥원 인터넷침해대응센터(국번 없이 118)로 문의하면 된다.

[참고사이트]
[1] www.openssl.org/news/secadv/20160926.txt
[2] www.openssl.org/source/
[원병철 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>