l

팁과강좌

PC/모바일 서버 운영자분들 OpenSSL 패치하세요 (CVE-2021-3449) 15

16
cwyang
12,915
2021-03-31 08:59:11 수정일 : 2021-03-31 09:10:20 59.♡.92.80

OpenSSL 1.1.1~1.1.1j 버젼들에서, 악의적인 사용자가 해당 버젼을 사용하는 서버에 장애를 유발할 수 있습니다. 간단히 서비스를 다운시킬 수 있는 것입니다.


구형 라이브러리를 사용하고 있는 아파치를 대상으로 실험을 해 보았습니다. 아래와 같이 worker에서 바로 SegFault가 발생해요.

[Tue Mar 30 23:16:30.385180 2021] [ssl:error] [pid 20279:tid 140060060911360] [client 172.16.202.30:33310] AH02042: rejecting client initiated renegotiation
[Tue Mar 30 23:16:30.854908 2021] [core:notice] [pid 20276:tid 140060356237120] AH00052: child pid 20279 exit signal Segmentation fault (11)


해당 취약점이 CVE-2021-3449에 발표되었으므로, OpenSSL 1.1.1j 라이브러리 이하를 이용한 production 사이트를 운영하시는 분들은 1.1.1k를 사용하도록 업데이트를 하시는 것을 권합니다. 

An OpenSSL TLS server may crash if sent a maliciously crafted renegotiation ClientHello message from a client.
OpenSSL 1.0.2 is not impacted by this issue. Fixed in OpenSSL 1.1.1k (Affected 1.1.1-1.1.1j).

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-3449

출처 : 직접 작성
cwyang 님의 게시글 댓글
SIGNATURE
No matter how full your life is, there is always room for BEER.
서명 더 보기 서명 가리기
16
댓글 • [15]
을 클릭하면 간단한 회원메모를 할 수 있습니다. 메모동기화
하랑아범
LINK
#123696428
IP 106.♡.30.18
21-03-31 2021-03-31 09:04:40 / 수정일: 2021-03-31 09:05:17
·
매번 취약점이 나오면 나오는대로 신경이 .....보안 장비, 네트워크 장비 패치 해야겠네요...
알려주셔서 감사합니다.
해당하는 장비 제조사에서 대응이 바로 나올지 모르겠네요
김밥하나라면하나
LINK
#123696518
IP 61.♡.201.149
21-03-31 2021-03-31 09:07:41
·
1.0.2 는 괜찮고, 1.1.1-1.1.1j 까지가 문제입니다. : ) , 이하라고 다 표현하셔서
cwyang
LINK
#123696591
IP 59.♡.92.80
21-03-31 2021-03-31 09:09:54
·
@김밥하나라면하나님 꼼꼼한 의견 감사드립니다. 본문에 업데이트 했습니다.
꼬소
LINK
#123707663
IP 183.♡.46.164
21-03-31 2021-03-31 14:20:27
·
@김밥하나라면하나님 감사합니다. 아니라면 삽질 할 뻔 했어요
김밥하나라면하나
LINK
#123709257
IP 175.♡.44.206
21-03-31 2021-03-31 15:15:13
·
@꼬소님 네 다행입니다. 삽질이 제일 무섭죠 ㅎㅎㅎ 복귀해!!!!
빈이79
LINK
#123697903
IP 211.♡.106.93
21-03-31 2021-03-31 09:51:45
·
CentOS 7 은 openssl 1.0.2k 군요.
구굴
LINK
#123700017
IP 147.♡.90.16
21-03-31 2021-03-31 10:49:31
·
외부사용자가 아파치를 다운시킬수가 있나요? 아니면 일단 서버접속은 해야 서비스를 다운시킬수 있는건가요?
cwyang
LINK
#123701369
IP 59.♡.92.80
21-03-31 2021-03-31 11:21:32
·
@구굴님 외부에서 전송한 패킷으로 아파치의 worker process 다운을 확인하였습니다.
구굴
LINK
#123702963
IP 175.♡.10.248
21-03-31 2021-03-31 12:00:02
·
헐. 심각한 취약점이네요 ㅜㅜ
YGee
LINK
#123702159
IP 116.♡.191.99
21-03-31 2021-03-31 11:39:25
·
오 좋은 정보 감사합니다.
세상에이런힐이
LINK
#123706557
IP 220.♡.55.167
21-03-31 2021-03-31 13:48:26
·
괜히 최신으로 업댓했네; ㅡ.ㅡ; 또 작업해야하는군...
꼬소
LINK
#123707650
IP 183.♡.46.164
21-03-31 2021-03-31 14:20:07
·
댓글 읽고 멈췄네요.. (openssl-1.0.2k-16.el7_6.1.x86_64)
vishnu
LINK
#123708051
IP 210.♡.82.66
21-03-31 2021-03-31 14:32:27
·
OpenSSL 1.0.2k-fips 이네요
고소.미
LINK
#123726056
IP 211.♡.241.154
21-04-01 2021-04-01 08:19:53 / 수정일: 2021-04-01 08:21:17
·
ubuntu 20.04는 1.1.1f인데... 아직 업데이트가 안나왔군요 -_- 강제로 패치를 해야하나보군요... 안그래도 ssl 패치는 재부팅 필수인데....


그래서 docker로... debian 이미지 패치 나오면 바로 무중단패치해야겠군요...
강상우
LINK
#123758349
IP 211.♡.203.3
21-04-02 2021-04-02 09:55:48
·
1.1.1 사용하는 서버가 없어서 테스트 해봐도 다 거절되네요
목록으로
글쓰기
글쓰기
목록으로 댓글보기
GIF 파일 다운로드
0 0 0 0
GIF 파일을 다운로드 받으려면
화면에 표시된 4자리 번호를 입력해주세요.