ClickCease CVE-2021-23841을 해결하기 위해 업데이트된 OpenSSL을 제공하는 Lifecycle 연장 지원 서비스 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

CVE-2021-23841을 해결하기 위해 업데이트된 OpenSSL을 제공하는 Lifecycle 연장 지원 서비스

2021년 3월 4일 TuxCare 홍보팀

CVE-2021-23841을 해결하기 위해 업데이트된 OpenSSL을 제공하는 ELS

OpenSSL API 함수 X509_issuer_and_serial_hash()의 작동 방식에 결함이 발견되어 이를 사용하는 애플리케이션이 충돌하여 사용자에게 잠재적인 서비스 거부(DoS)를 일으킬 수 있는 결함이 공개되었습니다. 

 

이 결함은 X509 인증서의 발급자 및 일련 번호 데이터에서 해시를 계산하는 방식에 있으며, 이로 인해 OpenSSL이 NULL 값을 반환하는 데 실패할 수 있습니다. 이로 인해 해당 함수를 호출하는 애플리케이션이 충돌할 수 있습니다.

이 익스플로잇은 이 동작을 트리거하는 특수하게 조작된 발급자 및 일련 번호 필드가 포함된 악의적으로 생성된 X509 인증서를 통해 이루어집니다. 

OpenSSL 자체는 이 함수를 호출하지 않으며, 이 함수를 사용하는 타사 애플리케이션만 위험에 노출됩니다.

 

CVE 제출 자료는 여기에서 확인할 수 있습니다:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23841

 

Tenable.sc 5.13.0 ~ 5.17.0, NetApp 5 등과 같은 여러 애플리케이션에 영향을 줍니다.

 

영향을 받는 버전은 OpenSSL 1.1.1i 이하입니다. 1.1.1 ~ 1.1.1i 범위의 버전을 사용 중인 경우 1.1.1j로 업그레이드해야 합니다.

 

OpenSSL 1.0.2는 더 이상 OpenSSL 팀에서 지원하지 않지만, Lifecycle 연장 지원 팀에서 사용자를 위해 업데이트된 OpenSSL 버전 1.0.2를 준비했으므로 애플리케이션에 이 버전을 사용하는 경우 안전할 것입니다.

 

Lifecycle 연장 지원 서비스는 서버를 업그레이드하거나 향후 공격에 취약한 상태로 두어야 하는 긴급한 상황을 완화하는 데 도움이 됩니다. 이 서비스를 이용하면 종료된 운영 체제를 EOL 날짜 이후 4년 더 모든 서버에서 실행할 수 있습니다. 관리자는 Lifecycle 종료 연장 지원 시스템을 사용하여 중요한 서버를 잠재적인 취약성으로부터 보호하는 동시에 향후 업그레이드를 위한 마이그레이션 계획을 수립할 수 있습니다. 

 

CloudLinux는 CentOS 6, Oracle Linux 6, Ubuntu 16.04 LTS와 같이 Lifecycle이 종료된 Linux 배포판에 대한 지속적인 업데이트와 지원을 제공합니다. 서버를 변경할 필요 없이 간단한 명령 한 번으로 새 리포지토리 파일을 추가하기만 하면 됩니다. 리포지토리를 추가한 후에는 2024년 6월까지 CloudLinux에서 업데이트와 보안 패치를 계속 제공합니다. Lifecycle 연장 지원 서비스에 대한 자세한 내용은 https://elsportal.com/ 에서 확인하세요.

 

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기