OpenSSL 취약점이 다시금 10월 31일 발표되어 OpenSSL은 대부분의 플랫폼에서 사용되는 만큼 수집한 정보들을 정리해본다. 이번에 발표된 취약점은 X.509 Email Address Buffer Overflow 와 관련되어 있다. 다만 처음 발표되었을 때에는 Critical 로 발표되어, 심각한 취약점으로 빠른 조치가 필요해 보였으나, 11월 1일 High로 낮추어졌는데 이유를 확인해보면, REC(Remote Command Execution, 원격 실행)보다는 DoS(서비스 거부) 취약점에 가까운 것으로 확인되어 위험도가 낮아졌다고 할 수 있다. 분석CVE-2022-3786 및 CVE-2022-3602는 OpenSSL에서 X.509 인증서 확인의 이름 제약 조건 검사 기능을 하던 중 버퍼 오버 플로우가 발생할 수 있다. 인증서에 버퍼 오버플로우을 트리거하도록 설계된 특수하게 조작된 퓨니코드(Punycode)로 인코딩된 이메일 주소가 포함되어 있을 때 발생할 수 있는 것으로 확인된다. 악용에 성공하면 DoS(서비스 거부) 조건이 발생할 수 있다. 퓨리 코드란? 비 지원 언어(한국어, 중국어등)를 공통적으로 표현하기 위해서 유니코드를 ASCII 문자 집합으로 인코딩에 사용할 때 사용할 수 있다. 퓨니코드 문자열에는 예약된 접두어 xn-- 를 이용해서 퓨니코드임을 알 수 있다. 퓨리코드 변환기를 통해 손쉽게 인코딩 디코딩이 가능하다. Download Punycode Converter 1.0.1 (softpedia.com) Chrome 웹 스토어 - 확장 프로그램 (google.com) CVE-2022-3602는 원래 RCE(원격 코드 실행) 가능성으로 인해 중요한 것으로 간주되었으나 OpenSSL은 최신 플랫폼에 스택 오버플로 방지 기능이 포함되어 있고 일부 Linux 배포판에서는 RCE와 DoS가 모두 실현 가능하지 않은 것으로 확인되어, 등급을 변경한 것으로 확인된다. 취약한 버전OpenSSL versions 3.0.0 부터 3.0.6 까지 확인 방법Linux(Ubuntu) 기준 패키지 관리 명령인 apt list, show명령을 이용하여 가능하다.
그외 취약한 플랫폼 리스트도 함께 공개 되었으므로 해당 버전의 플랫폼을 사용하는지 확인하기 바란다. OpenSSL-2022/software at main · NCSC-NL/OpenSSL-2022 · GitHub 조치 방안현재 OpenSSL versions 3.0.7 버전으로 업그레이드 가능하다. Tags · openssl/openssl · GitHub GitHub - openssl/openssl: TLS/SSL and crypto library TLS/SSL and crypto library. Contribute to openssl/openssl development by creating an account on GitHub. github.com 참조New OpenSSL v3 vulnerability: prepare with Microsoft Defender for Cloud - Microsoft Community Hub https://www.openssl.org/news/secadv/20221101.txt CVE-2022-3786 and CVE-2022-3602: OpenSSL Patches Two High Severity Vulnerabilities - Blog | Tenable® 안녕하십니까? 아이네트호스팅 기술지원센터(TAC)입니다. OpenSSL 1.0.1 - 1.0.1f 버전에서 심각한 보안 취약점이 발견되었기에 관련 정보를 공지해드리오니, 해당 환경/솔루션을 이용하시는 고객님께서는 속히 본 공지사항의 방법으로 조치를 하시어 부득이한 피해를 겪지 않도록 조치하시기 바랍니다.
OpenSSL 취약점(CVE-2014-0160(OpenSSL HeartBleed 취약점)) 관련 조치 권고 [취약점 요약]
* 참고 : OpenSSL 버전 확인 방법 OpenSSL 1.0.1 ~ 1.0.1f 을 사용하지 않으면 안전하다.
-DOPENSSL_NO_HEARTBEATS ------------------------------------------------------------------------------------------------ [내 사이트가 영향이 있는지 체크하는 방법] 아래의 사이트에서 해당 웹서버가 영향을 받는지 아닌지 테스트할 수 있다. http://filippo.io/Heartbleed/#github.com [AWS EC2 에서 대응하는 방법] Amazon Linux에서 아래의 명령 후 서비스
restart
참고 URL : http://www.ubuntu.com/usn/usn-2165-1/ sudo apt-get update
참고 URL :
http://lists.centos.org/pipermail/centos-announce/2014-April/020248.html
yum clean all && yum update "openssl*"
참고 URL :
https://twitter.com/nodejs/status/453298698714230784
기타 문의사항이 있으시면 전화 1566-6757 또는 로 문의하여 주시기 바랍니다.
|