보안

cipher에서 -SSLv3 설정하면 TLSv1 도 사용 불가한 이유

POODLE(CVE-2014-3566) 취약점을 확인하면서 들여다 보던 중 cipher suite에서는 ssl3와 tls1을 별도 지정할 수 없다는 것을 알았다. apache는 ssl protocol 설정이 별도로 있기 때문에 All -SSLv2 -SSLv3 로 설정하는데 내가 확인한 모듈은 cipher 설정만 지원하고 있기 때문에 ssl3만 끌 수 없었다. 제대로는 SSLProtocol 설정을 변경해야 하지만 SSLCipherSuite 설정에 -SSLv3 처럼 지정해도 프로토콜이 disable 되는 효과가 있는데 이렇게 하면 TLSv1 도 사용할 수 없게 된다. 결국 소스를 수정해서 protocol을 별도 지정할 수 있게 하고 SSL_CTX_new() 이후에 SSL_CTX_set_options()으로 ..

apache DoS 취약점 (CVE-2014-3581)은 2.2.x 버전에는 해당 없음

얼마 전 발표된 이 취약점은 설명이 아래처럼 애매하게 나와있다. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3581The cache_merge_headers_out function in modules/cache/cache_util.c in the mod_cache module in the Apache HTTP Server before 2.4.11 allows remote attackers to cause a denial of service (NULL pointer dereference and application crash) via an empty HTTP Content-Type header. 관련 개발자들 끼리도 초기에 문제가 있을 것이라고 추..

nobody2
'보안' 태그의 글 목록
상단으로

티스토리툴바