ClickCease CVE-2020-1971용 KernelCare+ 패치 출시 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

CVE-2020-1971용 KernelCare+ 패치가 출시되었습니다.

2020년 12월 8일 TuxCare 홍보팀

CVE-2020-1971용 KernelCare+ 패치OpenSSL 팀에서 새로운 수정 사항을 발표했습니다. CVE-2020-1971 x509v3 인증서 필드를 통해 서버 중단을 유발합니다. 다행히 데이터 도난으로 이어지지는 않지만, 서버를 종료하고 회사의 운영 흐름을 마비시킬 수 있습니다. OpenSSL 1.1.1 및 1.0.2 버전이 이 문제의 영향을 받습니다. 기타 OpenSSL 릴리스는 다음과 같습니다. 지원 중단는 확인되지 않았으며 공급업체에서 해결하지 않을 가능성이 높습니다.

현재 KernelCare 팀은 공급업체의 1.1.1 패치를 v.1.1.0으로 포팅하고 라이브 패치 기술로 보강하는 섬세한 작업을 하고 있습니다. 지원되는 버전과 지원되지 않는 버전의 OpenSSL에 대한 재부팅 없는 패치는 CentOS6의 경우 24시간 내에 제공되며, 나머지 지원되는 배포판의 패치는 이번 주 후반에 배포될 예정입니다.

12월 9일부터 업데이트됩니다:

CentOS 6 및 CentOS 7용 패치가 릴리스되었습니다. KernelCare 클라이언트는 앞으로 4시간 내에 업데이트를 받기 시작할 것입니다.

추가적인 위험을 완화하기 위해 내일 새로운 버전의 KernelCare 에이전트를 출시할 예정입니다.

콘텐츠:

  1. 무슨 일이 있었나요?
  2. 시스템을 재시작하거나 재부팅하지 않고 CVE-2020-1971을 완화하는 방법은 무엇인가요?
  3. CVE-2020-1971 정보

 

무슨 일이 있었나요?

1.1.1 및 1.0.2 이전 버전의 OpenSSL을 실행하는 CentOS6 사용자 및 기타 EOL 배포판의 경우, 오픈 소스에 따르면 이전 OpenSSL 릴리스는 지원되지 않으며 공급업체가 이전 라이브러리 버전에 대한 CVE-2020-1971 수정을 출시하지 않을 것으로 예상되므로 악의적인 공격자에 의해 기업 서버가 종료될 수 있는 취약한 상태에 놓이게 됩니다. 현재로서는 24시간 내에 CVE-2020-1971 패치를 릴리스할 계획이며 서비스 재시작이나 서버 재부팅 없이 이전 및 새 OpenSSL을 업데이트할 수 있는 몇 안 되는 서비스 중 하나가 KernelCare+입니다.

Lifecycle이 다한 운영 체제나 공유 라이브러리를 고수하는 사람들에게는 몇 가지 건설적인 이유가 있습니다. 새로운 공유 라이브러리 또는 OS로 마이그레이션하는 것은 번거롭고 비용이 많이 드는 작업입니다. 또한 시스템 관리자가 수천 대의 서버를 업데이트하는 데 동참하더라도 기업 경영진은 필요한 재정적, 시간적 자원의 양을 적절히 평가하기 때문에 계속 주저합니다.

그렇다면 지금 선택할 수 있는 방법은 무엇일까요? 가장 확실한 방법은 OpenSSL v1.1.x를 사용 중이라면 직접 CVE-2020-1971을 수동으로 패치하는 것입니다. v1.0을 사용 중이라면 최신 버전의 OpenSSL로 업그레이드하여 수정하세요. 어떤 방법을 선택하든 공유 라이브러리 업데이트가 적용되려면 서비스를 다시 시작하거나 전체 시스템을 재부팅해야 합니다. 어떤 방법을 선택하든 다운타임과 추가 작업 부하라는 여파는 동일합니다.

 

시스템을 재시작하거나 재부팅하지 않고 CVE-2020-1971을 완화하는 방법은 무엇인가요?

최신 버전으로 마이그레이션하거나 수동 패치를 적용하지 않고 OpenSSL을 업데이트하는 세 번째 옵션도 있습니다. 긴급 업데이트로 인한 워크로드에 극심한 부담을 주지 않는 방법입니다. KernelCare+가 자동으로 OpenSSL을 패치하도록 하세요.

KernelCare+ 팀은 현재 공급업체의 1.1.1 패치를 v.1.1.0으로 포팅하고 라이브 패치 기술로 강화하는 작업을 진행 중입니다. KernelCare+는 애플리케이션의 운영 상태에 영향을 주지 않고 재시작이나 재부팅 없이 보안 업데이트를 적용하는 공유 라이브러리용 라이브 패치입니다. KernelCare+는 Glibc 및 OpenSSL의 라이브 패치 외에도 Linux Kernel도 보호합니다.

2020년 12월 9일에 KernelCare 패치가 릴리스될 예정입니다. 먼저 가장 많은 영향을 받는 배포판인 CentOS 6 및 CentOS 7에 적용됩니다. 나머지 배포판에 대한 패치는 앞으로 며칠 내에 제공될 예정입니다.

7일 지원되는 KernelCare 무료 체험판 받기 

 

네 번째 옵션은 CloudLinux에서 Lifecycle 연장 지원을 구매하거나 강력한 듀오를 선택하는 것입니다. CentOS 6 ELS 및 KernelCare+ 번들. 설치 과정은 간단합니다. 명령 하나만 실행하여 새 리포지토리 파일을 추가하면 됩니다. 그 후, CloudLinux는 OpenSSL, Glibc, cPanel, Apache, PHP, MySQL, OpenSSH, Zlib 등에 대한 업데이트를 제공합니다. 재부팅이나 프로세스 및 운영 중단 없이 이러한 업데이트를 제공하는 것이 KernelCare+의 역할입니다.

 

CVE-2020-1971 정보

OpenSSL은 최근(2020년 12월 8일) 암호화 라이브러리의 GENERAL_NAME_cmp() 함수에서 발견된 고위험 널 포인터 역참조 취약점에 대한 권고 패치를 발표했습니다. 이 취약점이 패치되지 않은 상태에서 공격자는 악의적으로 조작된 매개 변수를 GENERAL_NAME_cmp() 함수에 전송하여 시스템을 다운시켜 서비스 거부(DoS) 상태를 유발할 수 있습니다. 이 취약점은 CVE-2020-1971로 지정되었습니다.

GENERAL_NAME_cmp() 함수의 목적은 두 가지입니다:

  1. "-crl_download" 옵션을 사용하여 다운로드한 사용 가능한 CRL과 X.509 인증서에 포함된 CRL 배포 지점 간의 CRL(인증서 해지 목록) 배포 지점 이름을 비교합니다.
  2. 타임스탬프 응답 토큰 서명자가 타임스탬프 권한 이름과 일치하는지 확인합니다.

공격자가 비교되는 두 매개변수를 모두 제어할 수 있는 경우, 악의적으로 조작된 CRL 또는 악성 X.509 인증서를 사용하여 시스템을 중단시킬 수 있습니다.

OpenSSL은 비교에 사용할 일반 이름이라는 일반 유형을 사용합니다. 유형 중 하나는 EDIPartyName이라고 합니다. 두 매개변수 모두에 EDIPartyName 유형이 포함된 경우, OpenSSL 코드는 이를 "기타"로 처리하고 세그멘테이션 오류가 발생합니다.

OpenSSL 버전 1.1.1-1.1.1h 및 버전 1.0.2-1.0.2w를 사용하는 모든 서버는 최신 1.1.1i 또는 1.0.2x 버전으로 업데이트해야 합니다. OpenSSL을 종속성으로 사용하는 개발자는 암호화 라이브러리도 패치해야 하며, 특히 s_server, s_client 및 인증서에 대한 확인 도구를 구현하는 경우 더욱 그렇습니다. 이러한 도구는 기능에 GENERAL_NAME_cmp()를 사용하며, 이 취약점을 발견한 Google 보안 연구원 David Benjamin은 이 도구에 잘못된 입력이 전송될 경우 OpenSSL이 충돌한다는 사실을 증명하고 시연했습니다.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기