우분투 18.04에서 패치된 OpenSSL 취약점
인터넷 통신 보안을 위한 중요한 라이브러리인 OpenSSL에서 몇 가지 보안 취약점이 발견되었습니다. 공격자는 이러한 취약점을 악용하여 서비스 거부(DoS) 공격을 실행할 수 있으며, 이로 인해 중요한 서비스가 중단될 수 있습니다. 우분투 보안팀은 우분투 16.04 및 우분투 18.04를 포함한 다양한 우분투 릴리스에 대한 보안 업데이트를 배포하여 신속하게 대응하고 있습니다.
이러한 취약점의 구체적인 내용을 자세히 살펴보겠습니다:
네 가지 OpenSSL 취약점 수정
OpenSSL에서 확인된 결함 중 하나는 지나치게 긴 DH(Diffie-Hellman) 키 또는 매개변수를 느리게 검사하는 것입니다. 이는 애플리케이션에 영향을 미칠 수 있습니다. DH_check()
, DH_check_ex()
또는 EVP_PKEY_param_check()
함수를 사용하여 특히 신뢰할 수 없는 소스를 확인할 때 서비스 거부를 일으킬 수 있습니다.
CVE-2023-3446 패치 후. 큰 'q' 매개변수 값은 특정 검사 중에 장시간 계산을 유발할 수 있다는 사실이 발견되었습니다. 올바른 q 값은 모듈러스 p 매개 변수를 초과할 수 없으므로, q가 p를 초과하면 이러한 검사는 불필요해집니다. DH_check()
를 신뢰할 수 없는 출처의 키 또는 매개변수와 함께 사용하면 서비스 거부 공격이 발생할 수 있습니다.
지나치게 긴 X9.42 DH 키를 생성하거나 지나치게 긴 X9.42 DH 키 또는 매개변수를 확인하면 속도가 매우 느려질 수 있습니다. 이 취약점이 악용되면 리소스 고갈로 인해 다시 서비스 거부가 발생할 수 있습니다.
악의적으로 조작된 PKCS12 파일을 처리하면 OpenSSL 서비스가 중단되어 잠재적으로 DoS 공격이 발생할 수 있습니다. 신뢰할 수 없는 소스에서 PKCS12 파일을 로드하는 애플리케이션이 갑자기 종료될 수 있습니다. PKCS12 사양은 특정 필드가 NULL일 수 있도록 허용하지만, OpenSSL은 이 조건을 적절히 확인하지 못하여 NULL 포인터 역참조와 그에 따른 충돌로 이어질 수 있습니다.
완화 조치
이러한 취약점으로부터 보호하려면 사용자는 openssl 패키지를 업데이트하여 보안 업데이트를 즉시 적용할 것을 강력히 권장합니다. 단, Ubuntu 16.04 및 Ubuntu 18.04에 대한 보안 업데이트는 Ubuntu Pro를 통한 확장 지원 유지 관리를 통해서만 제공된다는 점에 유의하세요.
Ubuntu Pro를 대체할 비용 효율적인 대안을 찾고 있다면 TuxCare의 수명 주기 연장 지원이 실용적인 솔루션이 될 수 있습니다. 표준 지원이 종료된 후 최대 5년 동안 수명이 다한 시스템에 대한 자동 취약성 패치를 제공합니다. 이를 통해 Ubuntu 16.04 및 Ubuntu 18.04 시스템에 대한 지속적인 보안을 보장하며 Ubuntu Pro 정식 구독에 드는 높은 비용 없이도 보안을 유지할 수 있습니다.
결론
이러한 취약점에 대한 패치는 이미 Ubuntu 16.04 및 Ubuntu 18.04에 대한 TuxCare의 연장 수명 주기 지원을 통해 배포되었습니다. 이 연장 지원을 활용하면 이러한 OpenSSL 취약점을 효과적으로 해결하고 수명이 다한 Ubuntu 시스템을 잠재적인 공격으로부터 보호할 수 있습니다.
출처 USN-6709-1