□ 개요
o OpenSSL 프로젝트는 OpenSSL에서 발생하는 취약점을 해결한 보안 업데이트 발표
o 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고
□ 설명 [1]
o OpenSSL에서 버퍼오버플로우로 인해 발생하는 원격 코드 실행 취약점 (CVE-2022-3602)
o OpenSSL에서 버퍼오버플로우로 인해 발생하는 서비스 거부 취약점 (CVE-2022-3786)
□ 설명 [2]
2022년 11월 1일 OpenSSL 프로젝트는 심각도가 높은 것으로 간주되는 취약점을 자세히 설명하는 보안 게시판 을 발표했습니다 . 취약점은 취약한 클라이언트 또는 서버가 X.509 인증서의 유효성을 검사할 때 트리거될 수 있는 메모리 손상 버그입니다. 클라이언트 또는 서버 인증서의 비ASCII 코드포인트를 악용하는 특수하게 조작된 이메일 주소는 이 취약점을 악용하여 서비스 거부(DoS) 또는 원격 코드 실행(RCE)을 달성할 수 있습니다.
공격자는 취약한 응용 프로그램이 신뢰할 수 없는 X.509 인증서(TLS 인증서 포함)를 확인하는 모든 상황에서 취약점을 악용할 수 있습니다. 특히 다음이 포함될 수 있습니다.
취약한 클라이언트에 특수하게 조작된 TLS 서버 인증서를 보내는 악성 서버
클라이언트 측 TLS 인증이 필요한 취약한 서버에 특수하게 조작된 클라이언트 측 TLS를 보내는 악성 클라이언트
Datadog Security Labs 팀은 Windows에서 취약한 시나리오를 복제하고 Windows에서 OpenSSL을 충돌시키는 PoC를 제작했습니다. 우리는 Linux에서 동일한 환경을 복제했으며, 여러 낮은 수준의 기술 세부 정보 로 인해 취약점을 악용할 수 없다고 중간 수준의 확신을 갖고 있습니다 .
[참고사이트]
https://www.openssl.org/news/secadv/20221101.txt
https://www.openssl.org/source/
https://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66999
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/
'Code::보안공지' 카테고리의 다른 글
| [KISA] 2023 사이버 보안 위협 전망 (0) | 2022.12.28 |
|---|---|
| 보안공지 : 기존 유출된 계정정보를 이용한 해킹 위협 증가에 따른 사용자 계정 보안 강화 권고 (0) | 2022.12.19 |
| 업데이트 : Zimbra 제품 보안 업데이트 권고 (2022.08.12) (0) | 2022.08.12 |
| 업데이트 : Apache Hadoop 보안 업데이트 권고 (2022.08.10) (0) | 2022.08.12 |
| 업데이트 : Kaspersky 제품 보안 업데이트 권고 (2022.08.08) (0) | 2022.08.09 |