OpenSSL 3.0.0~3.0.6에서 취약점(CVE-2022-3786, CVE-2022-3602) 발견, 3.0.7로 업데이트 필요
OpenSSL 1.0.2, 1.1.1 및 기타 이전 버전은 영향도 없음
CVE-2022-3786("X.509 이메일 주소 가변 길이 버퍼 오버플로") 및 CVE-2022-3602("X.509 이메일 주소 4바이트 버퍼 오버플로우")에 대한 권고를 게시했습니다
Q: 3.0.7 릴리스는 CRITICAL 취약점을 수정한다고 발표되었지만 CVE-2022-3786 및 CVE-2022-3602는 모두 높음입니다. CRITICAL 취약점은 어떻게 되었습니까?
A: CVE-2022-3602는 원래 OpenSSL 프로젝트에서 임의의 4바이트 스택 버퍼 오버플로이므로 위험으로 평가되었으며 이러한 취약점은 원격 코드 실행(RCE)으로 이어질 수 있습니다.
첫째, 특정 Linux 배포판에서 스택 레이아웃이 4바이트가 아직 사용되지 않은 인접 버퍼를 덮어쓰므로 충돌이나 원격 코드 실행을 유발할 수 있는 기능이 없다는 보고가 있었습니다.
둘째, 많은 최신 플랫폼은 원격 코드 실행의 위험을 완화하고 일반적으로 충돌로 이어지는 스택 오버플로 보호를 구현합니다.
그러나 OpenSSL은 소스 코드로 배포되므로 모든 플랫폼과 컴파일러 조합이 어떻게 스택에 버퍼를 배열했는지 알 수 있는 방법이 없으므로 일부 플랫폼에서는 원격 코드 실행이 여전히 가능할 수 있습니다.
우리의 보안 정책 에는 "일반적인 상황에서 원격 코드 실행이 가능한 것으로 간주되는" 경우 취약점이 CRITICAL로 설명될 수 있다고 명시되어 있습니다. 우리는 더 이상 이 등급이 CVE-2022-3602에 적용된다고 느끼지 않았으므로 2022년 11월 1일에 HIGH로 릴리스 되기 전에 다운 그레이드 되었습니다.
덮어쓰기 내용이 아닌 길이만 공격자가 제어하므로 CVE-2022-3786은 처음부터 위험으로 평가되지 않았습니다. 원격 코드 실행에 대한 노출은 모든 플랫폼에서 예상되지 않습니다.
우리는 여전히 이러한 문제를 심각한 취약점으로 간주하고 영향을 받는 사용자는 가능한 한 빨리 업그레이드하는 것이 좋습니다.
Q: 사용자는 어떻게 해야 합니까?
A: OpenSSL 3.0.0 - 3.0.6 사용자는 가능한 한 빨리 3.0.7로 업그레이드하는 것이 좋습니다.
Q: 3.0 이전 릴리스에 영향을 줍니까?
A: 아니요, 버그는 퓨니코드 디코딩 기능의 일부로 도입되었습니다(현재 X.509 인증서에서 이메일 주소 이름 제한을 처리하는 데만 사용됨). 이 코드는 OpenSSL 3.0.0에서 처음 도입되었습니다. OpenSSL 1.0.2, 1.1.1 및 기타 이전 버전은 영향을 받지 않습니다.
Q: OpenSSL 3.0을 사용하는 모든 애플리케이션은 기본적으로 취약합니까?
A: 신뢰할 수 없는 출처에서 받은 X.509 인증서를 확인하는 모든 OpenSSL 3.0 응용 프로그램은 취약한 것으로 간주되어야 합니다. 여기에는 TLS 클라이언트 및 TLS 클라이언트 인증을 사용하도록 구성된 TLS 서버가 포함됩니다.
우리는 2022년 11월 1일에도 OpenSSL 1.1.1, 즉 1.1.1s에 대한 업데이트를 출시했지만 이것은 버그 수정 릴리스일 뿐이며 보안 수정 사항은 포함되어 있지 않습니다.
Q: TLS 서버 인증서를 교체해야 합니까?
A: 아니요
Q: 보고 일정은 어떻게 됩니까?
A: CVE-2022-3602는 OpenSSL 코드 감사를 수행하던 Polar Bear가 2022년 10월 17일에 OpenSSL에 비공개로 보고했습니다. 2022년 10월 18일 Viktor Dukhovni가 해당 문제에 대한 후속 분석에서 독립적으로 트리거 가능한 두 번째 문제인 CVE-2022-3786을 확인했습니다. 2022년 10월 25일에 사전 통지 정책에 따라 여러 기관에 통지했습니다. 이러한 문제에 대한 수정 사항이 포함된 OpenSSL 3.0.7이 2022년 11월 1일에 릴리스 되었습니다.
Q: 어떤 버전의 OpenSSL을 사용해야 합니까?
A: 최신 버전의 OpenSSL 3.0(현재 3.0.7)을 사용하려면 새 애플리케이션을 개발해야 합니다. OpenSSL 3.0을 사용하는 기존 애플리케이션은 가능한 한 빨리 3.0.7로 업그레이드해야 합니다. OpenSSL 1.1.1을 사용하는 기존 애플리케이션은 이러한 문제의 영향을 받지 않습니다. 그러나 항상 최신 버전(1.1.1s)을 사용하는 것이 좋습니다. OpenSSL 1.1.1은 2023년 9월 11일까지 지원됩니다. 이전 버전의 OpenSSL(예: 1.0.2) 사용자는 OpenSSL 3.0으로 업그레이드하는 것이 좋습니다. OpenSSL2는 출시되지 않았습니다.
Open SSL 버전 확인 방법
- Linux : "openssl version"
- Window: cmd > Apache 홈\bin 위치에서 "openssl version"
출처: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog
Today we published an advisory about CVE-2022-3786 (“X.509 Email Address Variable Length Buffer Overflow”) and CVE-2022-3602 (“X.509 Email Address 4-byte Buffer Overflow”). Please read the advisory for specific details about these CVEs and how they
www.openssl.org
참고: OpenSSL 취약점 보안 업데이트 권고 https://knvd.krcert.or.kr/detailSecNo.do?IDX=5768
'FullStack > 41. WEB.WAS' 카테고리의 다른 글
| WebLogic - Exceeded stated context-length of: '99' bytes (0) | 2023.04.21 |
|---|---|
| WebLogic - Basic Auth 오류 (0) | 2023.04.21 |
| Apache HTTPD Server 컴파일 (0) | 2022.03.21 |
| 웹 서비스 성능 개선 - mod_expires 정적 리소스 캐시 사용 (0) | 2022.02.16 |
| 웹 서비스 성능 개선 - 텍스트 리소스 압축(gzip) 전송 (0) | 2022.02.14 |
