OpenSSL DROWN 취약점 CVE-2016-0800에 대한 NGINX 대응책
OpenSSL의 새로운 취약점인 DROWN(CVE-2016-0800)이 많은 관심을 받고 있습니다. OpenSSL DROWN 취약점은 여러 널리 사용되는 서버 기술의 이전 버전에 영향을 미치는 것으로 알려져 있어 많은 웹사이트 소유자들이 대응책을 마련하고 있습니다.
해당 포스트에서는 이 DROWN 취약점이 무엇인지, 그리고 특히 NGINX를 이용하는 사용자들이 취약점에 대응하기 위해 어떤 조치를 취해야 하는지에 대해 가이드합니다.
목차
1. OpenSSL DROWN 취약점 개요
2. DROWN 취약점의 특징
3. NGINX와 DROWN 취약점
4. OpenSSL DROWN 취약점에 대한 NGINX의 대응책과 권고사항
5. 추가 정보 및 참고 자료
1. OpenSSL DROWN 취약점 개요
OpenSSL의 DROWN 취약점 은 여러 널리 사용되는 서버 기술의 이전 버전에 영향을 미칩니다.
- SSLv2는 Secure Sockets Layer 프로토콜의 오래된 버전입니다. 대부분의 최신 웹사이트들은 Secure Sockets Layer (SSL)을 전혀 사용하지 않고, Transport Layer Security (TLS)로 이동했습니다.
- IIS v7은 Microsoft Internet Information Services의 이전 버전입니다.
- NSS 3.13 (Network Security Services)는 널리 사용되는 암호화 라이브러리입니다.
이 취약점은 SSLv2, IIS v7, 그리고 NSS 3.13와 같은 기술들에 영향을 미치며, DROWN Attack이라는 전용 웹사이트에서 자세한 설명을 확인할 수 있습니다.
DROWN 공격은 Decrypting RSA with Obsolete and Weakened eNcryption의 약자로, 웹사이트를 Middle Attack에 취약하게 만듭니다.
2. DROWN 취약점의 특징
OpenSSL DROWN 취약점은 웹사이트가 SSLv2나 다른 취약한 프로토콜을 활성화하고 있지 않아도 취약하다는 점에서 특이합니다. 웹사이트는 취약한 프로토콜을 지원하거나 SSLv2 연결을 허용하는 다른 서버와 개인 키를 공유할 경우 취약합니다.
3. NGINX와 DROWN 취약점
NGINX 오픈소스와 NGINX Plus 모두 SSLv2를 지원하지만, NGINX 0.8.19 버전(2009년 10월 출시) 이후의 모든 버전에서는 기본적으로 비활성화 되어 있습니다. SSLv2를 명시적으로 활성화 했거나, 0.8.19 이전 버전의 NGINX를 사용하거나, SSLv2 연결을 허용하는 다른 서버와 개인 키를 공유하는 사용자만이 이 공격에 취약합니다.
4. OpenSSL DROWN 취약점에 대한 NGINX의 대응책과 권고사항
웹사이트 소유자는 웹사이트 구성이 SSLv2를 지원하는지 확인하고, 그렇다면 비활성화해야 합니다.
NGINX와 NGINX Plus에서는 ssl_protocols 구성 지시문으로 SSL 및 TLS 프로토콜의 사용이 제어됩니다. 최근 TLS만 활성화하고 SSL v2와 SSL v3를 비활성화하려면 다음과 같은 구문을 사용합니다.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;NGINX STORE의 ngx_http_ssl_module 문서를 참조하세요.
5. 추가 정보 및 참고 자료
OpenSSL DROWN 공격과 NGINX 오픈소스에 대한 자세한 정보를 원하시면 NGINX STORE로 문의를 보내주세요.
NGINX Plus 사용자는 추가적인 지원을 제공받을 수 있습니다.
다음 사이트를 방문하여 더 많은 정보를 얻을 수 있습니다.
아래 뉴스레터를 구독하고 NGINX와 NGINX STORE의 최신 정보들을 빠르게 전달 받아보세요.
