|
:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
22/10/31 19:33
사실 패치 나오면 적용하고 조용히 넘어갈 수도 있습니다.
하트블리드 때와 비슷하다면 이런 유형의 취약점들은 일단 뭔가라 털렸다는걸 인지해야 문제가 되는데 털리는건 둘째치고 일단 [내가 공격을 받았는지 안 받았는지] 조차도 잘 모르니까요(…)
22/10/31 19:33
(수정됨) https://namu.wiki/w/%ED%95%98%ED%8A%B8%EB%B8%94%EB%A6%AC%EB%93%9C
대략적인 설명이 여기 나와있군요 잘못된 정보입니다 8년전 오류네요 크크
22/10/31 19:34
기사로는 OpenSSL 3.0.6 에서 발생하는 취약점이라 하더라고요. 레드햇 계열에서는 아직 1.1.1 로 사용중이여서 문제는 없는데 우분투처럼 공격적으로 업데이트 하는 배포판을 사용중이거나 별도 OpenSSL 을 사용해서 사용한다면 취약점에 거릴듯 해요. 1.1.1 EOS 가 1년도 안남아서 슬슬 갈아타는 곳도 있을것 좀 있지 않을것 같은.
1.1.1 좀 더 쓰면 안되겠니! 거지같은 CentOS5 까지 지원해야 한다고!
22/10/31 23:39
Log4j 사태, Heartbleed 같은 오픈소스 보안 취약점 문제는 참 무섭습니다. 아주 많은 사람들이 쓰고 있어서 더욱이요.
시큐어코딩이란게 참 어려운 것 같습니다.
22/11/02 16:41
OpenSSL의 이번 취약점은 CVE-2022-3602, CVE-2022-3786입니다. 예정대로 패치가 발표되었고, 위험도는 High로 재조정 되었습니다.
https://news.hada.io/topic?id=7718 * 이번에 발표된 취약점은 X.509 Email Address Buffer Overflow 와 관련됨 * 인증서에 버퍼 오버플로우을 트리거하도록 설계된 특수하게 조작된 퓨니코드(Punycode)로 인코딩된 이메일 주소가 포함되어 있을 때 발생할 수 있음 * 처음 발표되었을 때에는 Critical 로 발표되었으나, 11월 1일 High로 낮춰짐 - REC(Remote Command Execution, 원격 실행)보다는 DoS(서비스 거부) 취약점에 가까운 것으로 확인되어 위험도 조정됨
|
||||||||||||