보안 분류
OpenSSL 3버전 오버플로 및 원격코드 실행 취약점 업데이트 권고
작성자 정보
- 관리자 작성
- 작성일
컨텐츠 정보
- 2,540 조회
- 목록
본문
OpenSSL 3.0 및 후속 버전에서 발생하는 취약점이 확인되어 안내드립니다.
사용하시는 OpenSSL 버전을 확인하시어 취약 버전일 경우 업데이트를 권고 드립니다.
또한 NodeJS 등의 소프트웨어에서 사용되는 OpenSSL 버전을 확인하시어 취약 버전일 경우 업데이트를 권고 드립니다.
취약점에 대한 자세한 내용은 다음을 참고하시기 바랍니다.
상세 내용
- CVE 식별자
- CVE-2022-3786
- CVE-2022-3602
- 취약점 이름
- OpenSSL 3.0 ~ 3.0.6 버전에서 발생하는 스택 오버플로 및 원격코드 실행 취약점
- OpenSSL 3.0 ~ 3.0.6 버전에서 발생하는 스택 오버플로 및 원격코드 실행 취약점
- 취약점 등급
- High
- High
- 취약점 설명
- OpenSSL에서 X.509 인증서 검증의 이름 제약 검사 기능에서 버퍼 오버런 취약점 발견
- 인증서 체인 서명 확인 후에 발생하며, CA가 악성 인증서에 서명 및 응용 프로그램이 신뢰할 수 있는 발급자에 대한 경로를 구성함에 실패하여도 인증서 확인을 계속 진행
- 버퍼 오버런을 트리거하도록 설계된 퓨니코드를 조작하여 스택에서 공격자가 제어하는 4바이트를 오버플로 하도록 악성 이메일 주소를 만들 수 있음
- 이때 발생하는 버퍼 오버플로를 통해 서비스 거부 또는 원격 코드 실행이 발생
- 대부분의 많은 플랫폼들은 원격 코드 실행에 대한 스택 오버플로 보호 기능이 포함되어 있고 일부 Linux 배포판에서는 RCE와 DOS가 모두 실현 가능하지 않다는 사실로 인해 RCE의 가능성이 완화되었다고 판단
- 일반적으로 RCE에 대한 위험은 낮지만 0이 아니기 때문에 취약점의 심각도가 Critical에서 High로 변경
- POC 상태
- 비공개
- 비공개
- 영향받는 시스템
- OpenSSL 3.0 ~ 3.0.6 버전까지
- NodeJS와 같은 소프트웨어에서 사용되는 OpenSSL 버전 확인 필요
- NodeJS 1.x 버전의 경우 해당 취약점이 해당되지 않음
- NodeJS 관련 내용: https://nodejs.org/en/blog/vulnerability/openssl-november-2022/
- 소프트웨어별 참고사항: https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software
- NodeJS와 같은 소프트웨어에서 사용되는 OpenSSL 버전 확인 필요
- OpenSSL 3.0 버전으로 Ubuntu 22.04, CentOS Stream 9, Fedora 36, Fedora Rawhide, Kali 2022.3, Linux Mint 21 Vanessa, Mageia Cauldron, OpenMandriva 4.3, OpenMandriva Cooker, Redhat EL9, Rocky Linux release 9.0(Blue Onyx)에서 사용
- OpenSSL 3.0 ~ 3.0.6 버전까지
해결 방법
- 최신 버전(OpenSSL 3.0.7)으로 패치 권고
참고 사이트
- 링크
- https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html
- https://isc.sans.edu/forums/diary/Upcoming Critical OpenSSL Vulnerability What will be Affected/29192
- https://www.openssl.org/news/vulnerabilities.html#CVE-2022-3786
- https://www.boannews.com/media/view.asp?idx=111111
- https://www.openssl.org/policies/general/security-policy.html
- https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
- https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software
- https://nodejs.org/en/blog/vulnerability/openssl-november-2022
* NHN클라우드
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.