OpenSSL 1.0.2가 릴리즈 되었습니다.

사실 이미 두 달 정도 지난 소식이긴 한데, 그래도 언급은 해야될 거 같아서 소식 전합니다. OpenSSL 1.0.2가 이제 사용 가능합니다. major release로, 현재 OpenSSL을 사용 중인 프로젝트를 수행하고 있는 분이라면 교체하시는 게 바람직하겠습니다.

다음은 OpenSSL 공식 홈페이지에서 발췌한 릴리즈 노트입니다.

Major changes between OpenSSL 1.0.1l and OpenSSL 1.0.2 [22 Jan 2015]:

• Suite B support for TLS 1.2 and DTLS 1.2

• Support for DTLS 1.2

• TLS automatic EC curve selection.

• API to set TLS supported signature algorithms and curves

• SSL_CONF configuration API.

• TLS Brainpool support.

• ALPN support.

• CMS support for RSA-PSS, RSA-OAEP, ECDH and X9.42 DH.

OpenSSL의 최신 소스는 다음 링크에서 다운로드 받을 수 있습니다.

관련 링크: OpenSSL Source

한국인터넷진흥원(KISA)의 인터넷침해대응센터(링크)에 따르면 다음의 OpenSSL 버전에 대해서 FREAK SSL 취약점이 발견되었다고 합니다.

관련 링크: 'FREAK' SSL 취약점 주의 권고

Openssl 0.9.8 대 0.9.8zd 이전 버전

Openssl 1.0.0 대 1.0.0p 이전 버전

Openssl 1.0.1 대 1.0.1k 이전 버전

이 밖에 취약한 OpenSSL을 사용한 Apple, Google, MS社 등의 제품

따라서 이러한 취약점에 영향 받는 버전을 사용 중인 시스템에 대해서는 OpenSSL 1.0.2 버전으로 업그레이드를 해야 한다는 것이죠. 자세한 내용은 위 관련 링크를 클릭하여 알아보시기 바랍니다.