기술 지원
문서
로그인
문의하기
2023년에는 널리 사용되는 암호화 라이브러리인 OpenSSL에서 총 17개의 취약점이 해결되었습니다. 이 취약점들은 상당한 가용성 중단을 초래할 수 있기 때문에 상당한 위험을 초래합니다. OpenSSL 심각도 메트릭에 따라 심각도가 높음, 보통, 낮음으로 나뉩니다.
2023년의 OpenSSL 취약점
CVE-2023-4807 (2023년 9월 8일)
Windows 64비트 플랫폼에서 작동하는 애플리케이션의 내부 상태, 특히 AVX512-IFMA 명령어를 지원하는 최신 X86_64 프로세서에서 실행될 때 애플리케이션을 중단시킬 수 있는 버그가 POLY1305 MAC(메시지 인증 코드) 구현 내에서 발견되었습니다. 이 취약점은 다른 운영 체제에는 영향을 미치지 않습니다.
참고: 이러한 OpenSSL 결함 중 일부는 VPN 구현에 다운스트림 영향을 미칠 수도 있습니다(예: OpenSSL이 최신 버전이 아닌 경우, openvpn 취약점이 악용될 수 있습니다).
CVE-2023-2650 (2023년 5월 30일)
특수하게 제작된 특정 ASN.1 개체 식별자 또는 이를 포함하는 데이터를 처리하는 경우 성능이 크게 저하될 수 있습니다.
OBJ_obj2txt()를 직접 사용하거나 메시지 크기 제한을 두지 않고 OCSP, PKCS7/SMIME, CMS, CMP/CRMF 또는 TS와 같은 OpenSSL 하위 시스템을 사용하는 애플리케이션은 이러한 메시지에 대해 상당한 처리 지연이 발생하여 서비스 거부(DoS) 시나리오가 발생할 가능성이 있습니다.
CVE-2023-0464 (2023년 3월 21일)
현재 지원되는 모든 버전의 OpenSSL에 영향을 미치는 보안 취약점이 발견되었습니다. 이 취약점은 정책 제약 조건이 포함된 X.509 인증서 체인의 검증과 관련이 있습니다. 공격자는 이 취약점을 악용하여 기하급수적으로 컴퓨팅 리소스를 소비하도록 유도하는 악성 인증서 체인을 만들어 궁극적으로 취약한 시스템에 대한 서비스 거부(DoS) 공격을 일으킬 수 있습니다.
CVE-2023-0286 (2023년 2월 7일)
X.509 GeneralName 내의 X.400 주소 처리와 관련하여 유형 혼동과 관련된 취약점이 확인되었습니다. 이 맥락에서 X.400 주소는 처음에 ASN1_STRING으로 구문 분석되었지만 GENERAL_NAME에 대한 공개 구조 정의에서 x400Address 필드의 유형을 ASN1_TYPE으로 잘못 지정했습니다. 결과적으로 이 필드는 OpenSSL 함수 GENERAL_NAME_cmp에서 ASN1_STRING이 아닌 ASN1_TYPE으로 잘못 해석됩니다.
CRL 검사가 활성화된 경우(즉, 애플리케이션이 X509_V_FLAG_CRL_CHECK 플래그를 설정한 경우), 이 취약점은 공격자가 memcmp 호출에 임의의 포인터를 제공할 수 있도록 허용할 가능성이 있습니다. 이를 통해 공격자는 메모리 내용을 읽거나 서비스 거부 공격을 시작할 수 있습니다.
참고: 여기서는 OpenSSL 결함에 초점을 맞추었지만, Samba 서버를 최신 상태로 유지하는 것도 마찬가지로 중요하며, 최근 Samba 취약점 패치(2023년 말)는 많은 배포판에서 중요한 인증 우회 문제를 해결합니다.
TuxCare의 OpenSSL 보안을 위한 LibCare
KernelCare Enterprise의 애드온 도구인 LibCare는 보안 위협에 취약한 glibc 및 OpenSSL과 같은 공유 라이브러리를 위한 엔터프라이즈 라이브 패치 서비스를 제공합니다.
수많은 서버가 Linux 기반 운영 체제에 크게 의존하고 있기 때문에 OpenSSL과 같은 중요 라이브러리의 취약점은 심각한 위험을 초래할 수 있습니다. 더 이상 OpenSSL 보안에 타협하거나 운영에 차질을 빚지 마세요. 지금 바로 자동화된 무중단 라이브러리 패치로 회사의 보안 태세를 강화하는 TuxCare의 LibCare를 사용하세요.
최종 생각
OpenSSL 취약점은 악의적으로 악용되어 DoS 공격을 실행할 수 있으며, 잠재적으로 시스템 접근성을 잃고 시스템 무결성까지 손상시킬 수 있습니다. 이러한 위협으로부터 시스템을 보호하려면 OpenSSL에서 제공하는 보안 업데이트를 즉시 적용하는 것이 필수적입니다. 영향을 받는 모든 사용자는 각 배포판에서 배포하는 OpenSSL 업데이트를 즉시 적용할 것을 강력히 권장합니다.
위에서 언급한 취약점에 대한 패치를 이미 배포했습니다. 자세한 내용은 CVE 대시보드에서 확인하세요.
이 이야기의 소스는 OpenSSL에서 확인할 수 있습니다.
