OpenSSL 서비스거부 취약점(CVE-2022-0778) 주의!

 

OpenSSL에서 서비스거부 취약점(CVE-2022-0778)이 발견되었습니다.

 

이 취약점은 인증서를 구문 분석할 때 모듈식 제곱근을 계산하는 BN_mod_sqrt() 함수의 버그로 인해 발생합니다. 공격자로 하여금 유효하지 않은 명시 곡선 파라미터(explicit curve parameters)를 사용하여 잘못된 형식의 인증서를 만들어 무한 루프를 유발하도록 허용합니다. 

 

취약한 상황은 다음과 같습니다. 

 

- 서버 인증서를 사용하는 TLS 클라이언트
- 클라이언트 인증서를 사용하는 TLS 서버
- 고객으로부터 인증서 또는 개인 키를 받는 호스팅 제공업체
- 인증 기관이 가입자의 인증 요청을 구문 분석
- ASN.1 타원 곡선 매개변수를 구문 분석하는 기타 모든 것

 

 

영향받는 버전 

 

OpenSSL 1.0.2

OpenSSL 1.1.1

OpenSSL 3.0

 

 

패치방법

 

OpenSSL 1.0.2zd(프리미엄 지원 고객용)

OpenSSL 1.1.1n 

OpenSSL 3.0.2

 

 

 

출처 : 

https://www.openssl.org/news/secadv/20220315.txt
https://securityaffairs.co/wordpress/129104/security/openssl-dos-vulnerability.html