최근 핫 이슈 !!!!
“OpenSSL – HeartBleed Bug”
댁에 서버는 안녕들 하신가요??
그럼, 이제 취약점 관점에서 좀 살펴보도록 하겠습니다....
역시나 취약점에서 빼 놓을 수 없는 경계체크 즉 쉬운 말로 길이체크가 또 문제네요 ..
TLS HeatBeat 도 웹서버의 Trace 메쏘드와 같이 요청 페이로드를 받으면 받은 메시지를 그대로 응답 페이로드에 담아서 보내게 됩니다. 이때, 복사할 만큼의 요청 페이로드가 존재하는 지 확인도 하지 않고 바로 메모리를 복사해서 응답 패킷을 만들어 버립니다......
좀 더 상세한 정보는 아래에서 다시 뵐께요
--- HackSum ---
'새빨간거짓말' 카테고리의 다른 글
CVE-2014-0515 Adobe Flash Player Shader(Pixel Bender) BOF 취약점 (4) | 2014.05.18 |
---|---|
CVE-2014-0094 Apache Struts Security Bypass Vulnerability (0) | 2014.05.18 |
CVE-2014-0322 제로데이 취약점 (0) | 2014.02.17 |
CVE-2013-3893 IE zeroday 취약점 분석 (1) | 2013.10.10 |
[소식] 9.11 악성코드 배포 (0) | 2013.09.11 |