ClickCease OpenSSL에서 발견된 두 가지 취약점 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

OpenSSL에서 발견된 두 가지 취약점 추가 발견

2021년 3월 26일 - 2021 TuxCare 홍보팀

OpenSSL에서 발견된 두 가지 취약점 추가 발견

 

널리 사용되는 암호화 툴킷이자 라이브러리인 OpenSSL은 Linux Kernel을 제외하고는 다른 어떤 프로젝트보다 보안 연구자들의 감사 대상이 되어 왔습니다. 이번 주에도 예외는 아니어서 몇 가지 문제가 발견되었습니다.

 

[4월 20일 업데이트: 지난 몇 주 동안, KernelCare는 AlmaLinux OS 8, RHEL 8, Ubuntu 18.04, Ubuntu 20.04, 센토스 8, 데비안 10, Oracle Linux 8을 대상으로 하는 CVE-2021-3449 패치와 AlmaLinux OS 8, 센토스 8, Oracle Linux 8, RHEL 8을 대상으로 하는 CVE-2021-3450 패치를 배포했습니다. 해당 시스템에서 KernelCare가 실행 중이라면 이미 해당 패치를 받으셨을 것입니다.]

예를 들어, 프로그래머는 보안 통신 채널이 필요하거나 인증서 유효성 검사를 수행할 때마다 매번 새로운 것을 개발하는 대신, 이미 검증된 OpenSSL 라이브러리를 사용합니다. 이러한 공통 기능에 대해 걱정할 필요 없이 핵심 애플리케이션 목표에 집중할 수 있는 사용 편의성과 운영 체제 및 아키텍처에 관계없이 폭넓게 채택되는 이점을 누릴 수 있습니다.

 

따라서 OpenSSL에 대한 경보가 울릴 때마다 많은 사람들이 주의를 기울이고 심각하게 받아들입니다. 이번 주에 1.1.1 브랜치의 모든 OpenSSL 버전에 영향을 미치는 두 가지 새로운 취약점, CVE-2021-3449와 CVE-2021-3450이 공개되었습니다. 이러한 버전은 RHEL 8과 같은 여러 운영 체제에 번들로 제공되는 버전이므로, 해당 운영 체제를 실행하는 시스템은 OpenSSL 1.1.1k에 두 가지 문제에 대한 수정이 포함되어 있으므로 가능한 한 빨리 OpenSSL을 업그레이드해야 합니다. 

첫 번째 취약점인 CVE-2021-3449는 악의적인 공격자가 재협상을 위해 구성된 TLSv1.2를 사용하는 서버 애플리케이션(예: 웹 또는 이메일 서버)을 충돌시킬 수 있는 서비스 거부(DoS) 취약점입니다. 안타깝게도 이는 기본 동작이므로 구성 변경이 명시적으로 설정되지 않은 경우 TLSv1.2를 사용하는 모든 소프트웨어가 원격으로 충돌할 수 있습니다. 이 문제는 특정 코드 경로에서 매개변수 유효성 검사가 누락되어 NULL 포인터가 사용되어 즉시 충돌을 유발할 수 있기 때문에 발생합니다.

 

두 번째 취약점인 CVE-2021-3450은 취약한 OpenSSL 버전을 사용하는 프로그램에서 특수하게 제작된 인증서를 CA(인증 기관) 인증서로 수락할 수 있도록 허용하며, 이는 인증서 신뢰 체인을 통해 제공되는 모든 검증 및 보증이 잠재적으로 제거되어 가짜 인증서가 실제 신뢰할 수 있는 인증서로 표시될 수 있다는 것을 의미합니다.

 

KernelCare 팀은 이미 패치 작업을 시작했으며, 다음 주 초에 KernelCare를 실행하는 영향을 받는 시스템에 패치가 제공될 예정입니다. 이 게시물은 특정 운영 체제 패치가 완료되는 대로 업데이트될 예정입니다.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기