ESA의 SSL 버전 3.0 Vulnerability CVE-2014-3566

다운로드 옵션

  • PDF     (170.2 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (84.1 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (67.5 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2014년 11월 24일 (월)
문서 ID:118620

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco ESA(Email Security Appliance)에 대한 Padding Oracle On Downgraded Legacy Encryption(POODLE) 공격에 대해 설명합니다.

문제

SSL(Secure Sockets Layer) 버전 3.0(RFC-6101)은 오래되고 안전하지 않은 프로토콜입니다.가장 실질적인 목적을 위해 TLS(Transport Layer Security) Version 1.0(RFC-2246), TLS Version 1.1(RFC-4346), TLS Version 1.2(RFC-5246) 등 많은 TLS 구현이 SSL Version 3.0과 역호환되도록 대체되었습니다. 이는 기존 사용자 환경에서 원활한 상호 운용이 가능합니다.프로토콜 핸드셰이크는 인증된 버전 협상을 위해 제공되므로 일반적으로 클라이언트와 서버에 공통된 최신 프로토콜 버전이 사용됩니다.그러나 클라이언트와 서버 모두 TLS 버전을 지원하더라도 SSL 버전 3.0에서 제공하는 보안 레벨은 여전히 관련이 있습니다. 많은 클라이언트가 서버의 상호 운용성 버그를 해결하기 위해 프로토콜 다운그레이드 댄스를 구현하기 때문입니다.

공격자는 다운그레이드 댄스를 악용하여 SSL 버전 3.0의 암호화 보안을 무너뜨릴 수 있습니다. 예를 들어, POODLE 공격을 통해 "보안"을 훔칠 수 있습니다.HTTP 쿠키(또는 HTTP 권한 부여 헤더 콘텐츠 같은 기타 베어러 토큰).

이 취약성에는 CVE(Common Vulnerabilities and Exposures) ID CVE-2014-3566이 할당되었습니다.

솔루션

다음은 관련 버그 목록입니다.

  • Cisco 버그 ID CSCur27131 - SSL 버전 3.0 POODLE Attack on the ESA (CVE-2014-3566)

  • Cisco 버그 ID CSCur27153 - SSL 버전 3.0 Cisco Security Management Appliance(CVE-2014-3566)에 대한 POODLE 공격

  • Cisco 버그 ID CSCur27189 - SSL 버전 3.0 Cisco Web Security Appliance에 대한 POODLE 공격(CVE-2014-3566)

  • Cisco 버그 ID CSCur27340 - SSL 버전 3.0 Cisco Ironport Encryption Appliance에 대한 POODLE 공격(CVE-2014-3566)

FIPS(Non-Federal Information Processing Standards) 모드에서 SSL 버전 3.0은 기본 설정에서 활성화됩니다.FIPS-Mode에서 SSL 버전 3.0은 기본적으로 비활성화되어 있습니다.FIPS 모드가 활성화되었는지 확인하려면 다음을 입력합니다.

CLI> fipsconfig

FIPS mode is currently disabled.

FIPS 모드가 비활성화된 경우 sslconfig 설정에서 SSL 버전 3.0이 활성화되었는지 확인합니다.sslv3이 방법으로 나열되면 SSL 버전 3.0이 활성화됩니다.SSL Version 3.0을 비활성화하려면 이를 TLS 버전 1로 변경합니다.

CLI> sslconfig
sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: <cipher list>
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: <cipher list>
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: <cipher list>
example.com> sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> GUI

Enter the GUI HTTPS ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the GUI HTTPS ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> INBOUND

Enter the inbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> OUTBOUND

Enter the outbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the outbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]>

example.com> commit

Please enter some comments describing your changes:
[]> remove SSLv3 from the GUI HTTPS method/Inbound SMTP method/Outbound SMTP method

Do you want to save the current configuration for rollback? [Y]>

Changes committed: Thu Oct 16 07:41:10 2014 GMT

관련 정보

TAC Authored

Cisco 엔지니어가 작성

  • Enrico Werner
    Cisco TAC Engineer.

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품