OpenSSL의 DROWN 취약점 CVE-2016-0800, 대부분의 NGINX 사용자에게 노출
DROWN이라 불리는 새로운 OpenSSL 취약점( CVE-2016-0800 )이 최근 발표되었습니다. 이는 널리 사용되는 여러 서버 기술의 이전 버전에 영향을 미칩니다.
- SSLv2는 Secure Sockets Layer 프로토콜의 이전 버전입니다. 최신 웹사이트 대부분은 SSL(Secure Sockets Layer)을 전혀 사용하지 않고 TLS(Transport Layer Security)로 전환했습니다.
- IIS v7, Microsoft 인터넷 정보 서비스의 이전 버전
- NSS 3.13(네트워크 보안 서비스), 널리 사용되는 암호화 라이브러리
DROWN 취약점은 DROWN 공격 이라는 전담 웹사이트에 설명되어 있습니다. DROWN은 Decrypting R SA with Obsolete and Wakened e N cryption의 약자로, 취약한 웹사이트를 중간자 공격에 취약하게 만듭니다.
DROWN은 사이트에서 SSLv2나 기타 취약한 프로토콜을 적극적으로 사용할 것을 요구하지 않는다는 점에서 특이합니다. 사이트가 취약한 프로토콜 중 하나를 지원하거나 SSLv2 연결을 허용하는 다른 서버와 개인 키를 공유하는 경우 해당 사이트는 취약해집니다.
NGINX Open Source와 NGINX Plus는 모두 SSLv2를 지원하지만 NGINX 0.8.19(2009년 10월 출시) 이후 모든 버전에서는 기본적으로 꺼져 있습니다. SSLv2를 명시적으로 켜 놓은 사용자, 0.8.19 이전 버전의 NGINX를 사용하는 사용자, SSLv2 연결을 허용하는 다른 서버와 개인 키를 공유하는 사용자만 이 공격에 취약합니다.
사이트 소유자는 자신의 웹사이트 구성이 SSLv2를 지원하는지 확인하고, 지원하는 경우 비활성화해야 합니다. NGINX 및 NGINX Plus의 경우, SSL 및 TLS 프로토콜의 사용은 ssl_protocols 구성 지시문에 의해 제어됩니다. 최신 TLS만 활성화하고 SSL v2와 SSL v3을 비활성화하려면 다음 구문을 사용하세요.
SSL 프로토콜 TLSv1, TLSv1.1, TLSv1.2NGINX의 SSL/TLS 지원 에 대한 참조 문서를 확인하세요.
DROWN 공격과 NGINX 오픈 소스에 대한 자세한 내용은 nginx@nginx.org 로 이메일을 보내주세요. 또한 메일링 목록 을 구독할 수도 있습니다.
NGINX Plus 사용자는 NGINX 지원팀에 문의할 수 있습니다.
자세한 내용은 다음 사이트를 방문하세요.
- OpenSSL.org의 DROWN에 대한 보안 권고
- ZDNet의 DROWN에 대한 자세한 설명
- DROWN 공격 전담 웹사이트
NGINX 구성을 업데이트하거나 보안 웹사이트의 애플리케이션 성능을 개선하려는 경우 HTTP/2로 업그레이드하는 것을 고려하세요. 최신 HTTP/2 블로그 게시물 과 HTTP/2 백서 에서 이러한 이점에 대해 자세히 알아볼 수 있습니다.
이미지는 The Drown Attack 에서 제공되었습니다.
"이 블로그 게시물에는 더 이상 사용할 수 없거나 더 이상 지원되지 않는 제품이 참조될 수 있습니다. 사용 가능한 F5 NGINX 제품과 솔루션에 대한 최신 정보를 보려면 NGINX 제품군을 살펴보세요. NGINX는 이제 F5의 일부가 되었습니다. 이전의 모든 NGINX.com 링크는 F5.com의 유사한 NGINX 콘텐츠로 리디렉션됩니다."