µî·ÏÀÏ 2022-11-05 12:05:01 Á¶È¸¼ö 410
Á¦¸ñ [º¸¾È°øÁö]OpenSSL 3.0.0~3.0.6¿¡¼­ Ãë¾àÁ¡(CVE-2022-3786, CVE-2022-3602)ÀÌ ¹ß°ßµÇ¾î °øÁö
¾È³çÇϼ¼¿ä.
¿ì¶ß³ÝÀÔ´Ï´Ù.

OpenSSL 3.0.0~3.0.6¿¡¼­ Ãë¾àÁ¡(CVE-2022-3786, CVE-2022-3602)ÀÌ ¹ß°ßµÇ¾î °øÁö µå¸³´Ï´Ù.

Openssl.org¿¡¼­ ¹ßÇ¥µÈ ÁÖ¿ä ³»¿ë³»¿ë¿¡ ´ëÇؼ­´Â ¾Æ·¡¸¦ Âü°í ºÎŹµå¸®¸ç,
OpenSSL 3.0À» »ç¿ëÇϽô ºÐµéÀº ¹Ýµå½Ã 3.0.7 ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®¸¦ ºÎŹµå¸³´Ï´Ù.

¡á CVE-2022-3786 X.509 À̸ÞÀÏ ÁÖ¼Ò °¡º¯ ±æÀÌ ¹öÆÛ ¿À¹öÇ÷οì
¡á CVE-2022-3602 X.509 À̸ÞÀÏ ÁÖ¼Ò 4¹ÙÀÌÆ® ¹öÆÛ ¿À¹öÇ÷οì

1. ÁÖ¿ä Ÿ°Ù ¹× Á¶Ä¡ ´ë»ó
- OpenSSL 3.0.0 - 3.0.6 »ç¿ëÀÚ. 3.0.7·Î ¾÷±×·¹ÀÌµå ±Ç°í

2. 3.0 ÀÌÀü ¸±¸®Áî¿¡´Â ¿µÇâÀ» ÁÖÁö ¾ÊÀ½
- OpenSSL 1.0.2, 1.1.1 ¹× ±âŸ ÀÌÀü ¹öÀüÀº ¿µÇâÀ» ¹ÞÁö ¾ÊÀ½
- Áï 1.1.1s¿¡ ´ëÇÑ ¾÷µ¥ÀÌÆ®¸¦ Ãâ½ÃÇßÁö¸¸ ÀÌ°ÍÀº ¹ö±× ¼öÁ¤ ¸±¸®½ºÀÏ »ÓÀÌ¸ç º¸¾È ¼öÁ¤ »çÇ×Àº Æ÷ÇԵǾî ÀÖÁö ¾ÊÀ½

3. OpenSSL 3.0À» »ç¿ëÇÏ´Â ¸ðµç ¾ÖÇø®ÄÉÀ̼ÇÀº ±âº»ÀûÀ¸·Î Ãë¾à
- ½Å·ÚÇÒ ¼ö ¾ø´Â Ãâó¿¡¼­ ¹ÞÀº X.509 ÀÎÁõ¼­¸¦ È®ÀÎÇÏ´Â ¸ðµç OpenSSL 3.0 ÀÀ¿ë ÇÁ·Î±×·¥Àº Ãë¾àÇÑ °ÍÀ¸·Î °£ÁÖ

4. ¾÷±×·¹À̵åÇÒ ¼ö ÀÖÀ» ¶§±îÁö ¿ÏÈ­ ¹æ¹ý
- TLS ¼­¹ö¸¦ ¿î¿µÇÏ´Â »ç¿ëÀÚ´Â ¼öÁ¤ »çÇ×ÀÌ Àû¿ëµÉ ¶§±îÁö »ç¿ë ÁßÀÎ °æ¿ì TLS Ŭ¶óÀ̾ðÆ® ÀÎÁõÀ» ºñÈ°¼ºÈ­ÇÏ´Â °ÍÀ» °í·Á

5. TLS/SSL ÀÎÁõ¼­ ±³Ã¼ ¿©ºÎ
- ¾Æ´Õ´Ï´Ù. TLS/SSL ÀÎÁõ¼­´Â º°µµ·Î ±³Ã¼ÇÒ ÇÊ¿ä°¡ ¾ø½À´Ï´Ù.

6. ¾î¶² ¹öÀüÀÇ OpenSSLÀ» »ç¿ëÇØ¾ß ÇÏ´ÂÁö
- ÃֽŠ¹öÀüÀÇ OpenSSL 3.0(ÇöÀç 3.0.7)À» »ç¿ëÇÏ·Á¸é »õ ¾ÖÇø®ÄÉÀ̼ÇÀ» °³¹ß
- OpenSSL 3.0À» »ç¿ëÇÏ´Â ±âÁ¸ ¾ÖÇø®ÄÉÀ̼ÇÀº °¡´ÉÇÑ ÇÑ »¡¸® 3.0.7·Î ¾÷±×·¹À̵å ÇØ¾ß ÇÔ
- OpenSSL 1.1.1Àº 2023³â 9¿ù 11ÀϱîÁö Áö¿ø
- ÀÌÀü ¹öÀüÀÇ OpenSSL(¿¹: 1.0.2) »ç¿ëÀÚ´Â OpenSSL 3.0À¸·Î ¾÷±×·¹À̵åÇÏ´Â °ÍÀÌ ÁÁÀ½
- OpenSSL 2 ´Â Ãâ½ÃµÇÁö ¾ÊÀ½

7. ÆÐÄ¡º» ´Ù¿î·Îµå ¸µÅ©
https://www.openssl.org/source/
https://ubuntu.com/security/notices/USN-5710-1 (ubuntu)

* OpenSSL ¾÷µ¥ÀÌÆ® ½Ã ¹Ýµå½Ã ¼­ºñ½º ¿µÇâµµ¸¦ ÆľÇÇϽŠÈÄ ¾÷µ¥ÀÌÆ®¸¦ ºÎŹµå¸³´Ï´Ù.

8. OpenSSL ¹öÀü È®ÀÎ ¸í·É¾î
- LinuxÀÇ °æ¿ì ¸í·É¾î â¿¡¼­ "openssl version" ÀÔ·Â
- WindowsÀÇ °æ¿ì, cmd¿¡¼­ Apache Ȩ À§Ä¡¿¡ bin Æú´õ·Î À̵¿ÇÏ¿© "openssl version" ÀÔ·Â

À¯¼­Æ®¿¡¼­´Â OpenSSL ¾÷µ¥ÀÌÆ® ½ÃÀÇ ¼­ºñ½º ¿µÇâµµ ¹× °¢ ȸ»çÀÇ ¼­¹ö Åë½Å°úÁ¤À» ¸ðµÎ ¾Ë ¼ö ¾ø±â ¶§¹®¿¡,
OpenSSL ¾÷µ¥ÀÌÆ® Áö¿øÀ» ÁøÇàÇÏÁö ¾ÊÀ¸´Ï, °í°´»çºÐµéÀÇ ¾çÇظ¦ ºÎŹµå¸®°Ú½À´Ï´Ù.
°ü·Ã ¾÷µ¥ÀÌÆ®´Â ¹Ýµå½Ã °ü·ÃµÈºÐµé(°³¹ßÀÚ, ¿£Áö´Ï¾î µî)°ú ³íÀÇÇÏ¿© ÁøÇàÇÏ½Ã±æ ºÎŹµå¸³´Ï´Ù.

°¨»çÇÕ´Ï´Ù.

wotonet µå¸².


Âü°í ¸µÅ© :
https://www.openssl.org/
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/