"심각"으로 우려되는 OpenSSL 취약점은 예상보다 덜 심각합니다.
오랫동안 기다려온 심각한 심각도의 보안 허점을 수정하는 OpenSSL 버그 수정이 지금 적용되었습니다. 새로운 OpenSSL 패치는 버그의 심각도를 심각에서 높음으로 낮췄습니다.
하트블리드 버그는 클라이언트 및 임의의 인터넷 사용자가 거의 모든 서버에 대해 트리거할 수 있는 OpenSSL의 데이터 유출 버그입니다.
OpenSSL 1.1.1은 버전 1.1.1s로 업그레이드되어 나열된 보안 버그 하나를 수정하지만 이 버그는 보안 등급이나 공식 CVE 번호가 없으며, OpenSSL 3.0은 버전 3.0.7로 업그레이드되어 공식적으로 심각도가 높은 것으로 설명되는 CVE 번호가 지정된 취약점을 하나도 아닌 두 개를 수정합니다. CVE-2022-3602에 대한 패치를 발표하는 동안 새롭고 유사한 버그인 CVE-2022-3786이 발견되었습니다.
패치가 릴리스되기 전까지는 CVE-2022-37786과 CVE-2022-3602의 구체적인 취약점은 거의 알려지지 않았지만, 웹 보안 분석가와 기업들은 심각한 문제와 유지 보수의 어려움이 있을 수 있다고 지적했습니다. Fedora와 같은 일부 Linux 배포판은 패치가 제공될 때까지 릴리스를 연기했습니다. 한편, 이러한 취약점은 주로 서버가 아닌 클라이언트에 영향을 미칩니다.
1.1.1s에 보안 패치가 적용되었으므로, 사용자는 현재 사용 중인 버전이 무엇이든 OpenSSL 1.1.1s 또는 OpenSSL 3.0.7로 교체해야 합니다. 3.0.7은 또한 두 개의 CVE 번호가 높은 심각도 취약점에 대한 수정 사항을 포함합니다. 1.0.2는 계속 지원 및 업데이트되지만, 팀과 계약을 체결한 고객에 한해서만 제공됩니다.
OpenSSL 보안팀의 블로그 게시물에 따르면, 조직들은 약 1주일 만에 테스트하고 피드백을 제공했습니다. 일부 Linux 배포판에서는 공격에서 발생할 수 있는 4바이트 오버플로우가 아직 사용되지 않은 인접 버퍼를 덮어썼기 때문에 시스템 충돌이나 코드 실행을 방지할 수 있었습니다. 다른 버그는 공격자가 오버플로우의 길이만 변경할 수 있었을 뿐 내용은 변경할 수 없었습니다.
이 글의 출처는 ArsTechnica의 기사입니다.