[보안이슈]OpenSSL 긴급 취약점 안내
안녕하세요 윈서트입니다.
OpenSSL은 버전은 크게 두가지 버전이 있습니다. v1.x.x., v3.0.x... v2 버전은 없습니다.
취약점이 알려진 버전은 OpenSSL v3.0.x 버전으로 알려졌습니다.
OpenSSL v3.0.x 버전을 배포 또는 포함되고 있는 알려진 운영체제 또는 프로그램은 아래와 같습니다.
"MacOS Ventura", "Node.js 18.x and 19.x", 리눅스 배포 패키지 버전에 포함된 OpenSSL 버전입니다.
* 위의 표는 참고 내용이며, OpenSSL 버전을 서버 또는 PC, 응용프로그램에서 직접 확인이 필요할 수 있습니다.
OpenSSLV3.0.x 긴급 취약점 안내
취약점 발견 S/W : OpenSSL v3.0.0 ~ v3.0.6
취약점이름 : CVE-2022-3786
취약점등급 : High
원인 : ("X.509 이메일 주소 가변 길이 버퍼 오버플로") 및 CVE-2022-3602("X.509 이메일 주소 4바이트 버퍼 오버플로")에 대한 권고를 게시했습니다.
조치방법
OpenSSL 3.0.x을 사용하고있는 경우, 가능한 한 빨리 3.0.7로 업그레이드가 필요합니다. 패치버전 업데이트이라 기존 어플리케이션에 영향이 미미할 것으로 예상되지만 사전에 테스트를 거친후 업데이트하시기바랍니다.
* CVE란 ? 공통 보안 취약성 및 노출(Common Vulnerabilities & Exposures)의 약자이며, 미국 국토안보부 산하 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)의 재정 지원을 받아 MITRE Corporation에서 관리합니다.
* CVE-YYYY-NNNN 표기 방법 YYYY는 CVE가 등록된(취약성이 발견된) 년도이고 N은 해당 년도마다 부여된 취약점들의 넘버링이다.
참고사이트
https://www.openssl.org/news/secadv/20221101.txt
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/