Freak Attack 대응 방안 안내



SSL 서비스르 제공받은 곳에서 보내온 메일입니다.

참고 하셔서 패치 하시기 바라겠습니다.


Freak(Factoring Attack on RSA-EXPORT Keys) Attack 관련으로 대응방안 권고내용을 안내드립니다.

[취약점]
Freak(Factoring Attack on RSA-EXPORT Keys)약자로 Openssl의 s3_clnt.c의 ssl_get_key exchange 함수에서 발생하는 취약점으로
MITM(Man In The Middle Attacker)을 통해 최대 512bit RSA로 다운그레이드하여 수시간 내 정보를 유출시킬수 있는 취약점


[영향 받는 시스템]
OpenSSL 0.9.8zd 미만
OpenSSL 1.0.0 버전의 1.0.0p 미만
OpenSSL 1.0.1 버전의 1.0.1k 미만


[취약점 대응 방법]
OpenSSL 0.9.8zd 미만   -> OpenSSL 0.9.8zd 업데이트
OpenSSL 1.0.0 버전의 1.0.0p 미만 -> OpenSSL 1.0.0p 업데이트
OpenSSL 1.0.1 버전의 1.0.1k 미만 -> OpenSSL 1.0.1k 업데이트


[Client 대응책]
IE 브라우저 패스가 나오기 전까지 크롬,파이어폭스 등 타 브라우저 사용
Google Android 패치 완료
Apple 사파리 3월 3주 중으로 패치 예정


[취약점 확인 명령어]
openssl s_client -connect [웹사이트명]:443 - chpher EXPORT

'alert handshake failure'가 돌아오면 취약점에 안전한 상태
'Certificate chain'이 돌아오면 공격에 노출되어 있는 상태


[웹 브라우저 패치 여부 확인]
freakattack.com 사이트에 접속했을 때 빨간색으로 "Warning" 문구가 나오면 패치가 이뤄지지 않은 상태이며,
초록색으로 "Good News"라는 문구가 나오면 패치가 완료된 상태입니다.



저작자 표시 동일 조건 변경 허락
신고