기술 지원
문서
로그인
문의하기
TuxCare 블로그
2023년에는 널리 사용되는 암호화 라이브러리인 OpenSSL에서 총 17개의 취약점이 해결되었습니다. 이 취약점들은 상당한 가용성 중단을 초래할 수 있기 때문에 상당한 위험을 초래합니다. OpenSSL 심각도 메트릭에 따라 심각도가 높음, 보통, 낮음으로 나뉩니다.
2023년의 OpenSSL 취약점
CVE-2023-4807 (2023년 9월 8일)
Windows 64비트 플랫폼에서 작동하는 애플리케이션의 내부 상태, 특히 AVX512-IFMA 명령어를 지원하는 최신 X86_64 프로세서에서 실행될 때 애플리케이션을 중단시킬 수 있는 버그가 POLY1305 MAC(메시지 인증 코드) 구현 내에서 발견되었습니다. 이 취약점은 다른 운영 체제에는 영향을 미치지 않습니다.
CVE-2023-2650 (2023년 5월 30일)
특수하게 제작된 특정 ASN.1 개체 식별자 또는 이를 포함하는 데이터를 처리하는 경우 성능이 크게 저하될 수 있습니다.
OBJ_obj2txt()를 직접 사용하거나 메시지 크기 제한을 두지 않고 OCSP, PKCS7/SMIME, CMS, CMP/CRMF 또는 TS와 같은 OpenSSL 하위 시스템을 사용하는 애플리케이션은 이러한 메시지에 대해 상당한 처리 지연이 발생하여 서비스 거부(DoS) 시나리오가 발생할 가능성이 있습니다.
CVE-2023-0464 (2023년 3월 21일)
현재 지원되는 모든 버전의 OpenSSL에 영향을 미치는 보안 취약점이 발견되었습니다. 이 취약점은 정책 제약 조건이 포함된 X.509 인증서 체인의 검증과 관련이 있습니다. 공격자는 이 취약점을 악용하여 기하급수적으로 컴퓨팅 리소스를 소비하도록 유도하는 악성 인증서 체인을 만들어 궁극적으로 취약한 시스템에 대한 서비스 거부(DoS) 공격을 일으킬 수 있습니다.
CVE-2023-0286 (2023년 2월 7일)
X.509 GeneralName 내의 X.400 주소 처리와 관련하여 유형 혼동과 관련된 취약점이 확인되었습니다. 이 맥락에서 X.400 주소는 처음에 ASN1_STRING으로 구문 분석되었지만 GENERAL_NAME에 대한 공개 구조 정의에서 x400Address 필드의 유형을 ASN1_TYPE으로 잘못 지정했습니다. 결과적으로 이 필드는 OpenSSL 함수 GENERAL_NAME_cmp에서 ASN1_STRING이 아닌 ASN1_TYPE으로 잘못 해석됩니다.
CRL 검사가 활성화된 경우(즉, 애플리케이션이 X509_V_FLAG_CRL_CHECK 플래그를 설정한 경우), 이 취약점은 공격자가 memcmp 호출에 임의의 포인터를 제공할 수 있도록 허용할 가능성이 있습니다. 이를 통해 공격자는 메모리 내용을 읽거나 서비스 거부 공격을 시작할 수 있습니다.
TuxCare의 OpenSSL 보안을 위한 LibCare
KernelCare Enterprise의 애드온 도구인 LibCare는 보안 위협에 취약한 glibc 및 OpenSSL과 같은 공유 라이브러리를 위한 엔터프라이즈 라이브 패치 서비스를 제공합니다.
수많은 서버가 Linux 기반 운영 체제에 크게 의존하고 있기 때문에 OpenSSL과 같은 중요 라이브러리의 취약점은 심각한 위험을 초래할 수 있습니다. 더 이상 OpenSSL 보안에 타협하거나 운영에 차질을 빚지 마세요. 지금 바로 자동화된 무중단 라이브러리 패치로 회사의 보안 태세를 강화하는 TuxCare의 LibCare를 사용하세요.
최종 생각
OpenSSL 취약점은 악의적으로 악용되어 DoS 공격을 실행할 수 있으며, 잠재적으로 시스템 접근성을 잃고 시스템 무결성까지 손상시킬 수 있습니다. 이러한 위협으로부터 시스템을 보호하려면 OpenSSL에서 제공하는 보안 업데이트를 즉시 적용하는 것이 필수적입니다. 영향을 받는 모든 사용자는 각 배포판에서 배포하는 OpenSSL 업데이트를 즉시 적용할 것을 강력히 권장합니다.
위에서 언급한 취약점에 대한 패치를 이미 배포했습니다. 자세한 내용은 CVE 대시보드에서 확인하세요.
이 이야기의 소스는 OpenSSL에서 확인할 수 있습니다.
