최근 OpenSSL은 여러개의 보안 취약점을 패치하였습니다.
OpenSSL 서비스 거부 취약점(CVE-2022-1473)
해시테이블을 비우는 OPENSSL_LH_flush() 함수에는 제거된 해시 테이블이 차지하는 메모리 재사용을 중단하는 버그가 포함되어 있습니다. 이 기능은 인증서 또는 키를 디코딩할때 사용되며, 수명이 긴 프로세스가 인증서 또는 키를 주기적으로 디코딩 하는 경우, 메모리 사용량이 제한 없이 확장되며 프로세스가 운영체제에 의해 종료되어 서비스 거부가 발생할 수 있습니다.
OpenSSL 비밀번호 오류 취약점(CVE-2022-1434)
RC4-MD5 ciphersuite의 OpenSSL 3.0 구현은 AAD 데이터를 MAC키로 잘못 사용하여 MAC키를 쉽게 예측할 수 있게 됩니다. 해당 취약점을 악용하면 공격자는 MITM 공격을 통하여 양측 사용자의 통신을 제어할 수 있습니다.
OpenSSL 인증서 인증오류 취약점(CVE-2022-1343)
OCSP_basic_verify 함수는 OCSP 응답을 통해 서명자 인증을 확인합니다. 서명 인증서가 검증에 실패한 경우에도 검증이 성공했다고 보고합니다. 해당 취약점을 악용하면 권한이 없는 사용자가 검증이 실패한 인증서를 통해 공격이 가능하게 됩니다.
OpenSSL 원격코드실행취약점(CVE-2022-1292)
c_rehash 스크립트가 shell 메타문자에 대해 제대로 삭제하지 않으며, 해당 스크립트는 일부 운영체제에서 자동으로 실행되는 방식으로 배포됩니다. 해당 취약점을 악용하면 인증받지 않은 공격자가 이러한 운영체제에서 스크립트 권한으로 임의 명령실행이 가능합니다.
영향받는 버전
CVE-2022-1292:
OpenSSL 3.0.0, 3.0.1, 3.0.2
OpenSSL 1.1.1 ~ 1.1.1n
OpenSSL 1.0.2-1.0.2zd
CVE-2022-1343/CVE-2022-1434/CVE-2022-1473:
OpenSSL 3.0.0, 3.0.1, 3.0.2
패치방법
최신 버전으로 업데이트
CVE-2022-1292:
OpenSSL 3.0.3
OpenSSL 1.1.1o
OpenSSL 1.0.2ze
CVE-2022-1343/CVE-2022-1434/CVE-2022-1473:
OpenSSL 3.0.3
미 국토안보부, 연방 기관에 VMware 버그 5일 이내에 패치하도록 명령해 (0) | 2022.05.19 |
---|---|
플레이 스토어의 앱 200개 이상, Facestealer 인포 스틸러 배포해 (0) | 2022.05.18 |
크립토마이너로 윈도우 및 리눅스 시스템을 하이재킹하는 새로운 Sysrv 봇넷 발견 (0) | 2022.05.18 |
애플, MAC 및 애플 워치 해킹에 사용되는 제로데이 취약점 긴급 패치해 (0) | 2022.05.17 |
CISA, 도메인 컨트롤러에 5월 윈도우 업데이트 설치 금지 경고해 (0) | 2022.05.17 |
댓글 영역