갱  신  일
2003-10-02

출      처
http://www.cert.org/advisories/CA-2003-26.html

작  성  자
이완희

제      목
OpenSSL(SSL/TLS)의 ASN.1 라이브러리 다중 취약점

해당시스템
OpenSSL 0.9.7b 이하 또는 0.9.6j 이하가 설치된 모든 플랫폼

SSLeay를 사용하는 시스템(시스코장비)

영      향
이 취약점을 이용하여 원격의 공격자가 서비스 거부 공격을 일으킬수 있고 임의의 코드를 실행하는 것이 가능하다.

설      명
OpenSSL의 중요 라이브러리인 ASN.1의 파싱부분에 취약점이 존재하여, 공격자는 이 취약점을 이용해 서비스 거부공격 및 악의적인 코드를 실행할 수 있다.

해  결  책
OPenSSL이 설치된 시스템은 OpenSSL 0.9.7c 또는 OpenSSL 0.9.6k로 업그레이드해야 한다.



밴드별 관련내용 및 패치 다운로드 위치



Red Hat



Red Hat Enterprise Linux:

http://rhn.redhat.com/errata/RHSA-2003-293.html

Red Hat Linux 7.1, 7.2, 7.3, 8.0:

http://rhn.redhat.com/errata/RHSA-2003-291.html

Stronghold 4 cross-platform:

http://rhn.redhat.com/errata/RHSA-2003-290.html

Red Hat Linux 9:

http://rhn.redhat.com/errata/RHSA-2003-292.html



Cisco

http://www.cisco.com/warp/public/707/cisco-sa-20030930-ssl.shtml



SGI

ftp://patches.sgi.com/support/free/security/advisories/20030904-01-P.asc



AIX

https://app-06.www.ibm.com/servers/resourcelink/lib03020.nsf/pages/securityalerts?OpenDocument&pathID=



Apple Computer Inc.

http://www.apple.com/support/



Novell

http://support.novell.com/security-alerts

참조사이트
·CIAC

   http://www.ciac.org/ciac/bulletins/n-159.shtml

·OpenSSL

   http://www.openssl.org/news/secadv_20030930.txtl