안녕하세요.
한국기업보안 유서트입니다.
OpenSSL 3.0.0~3.0.6에서 취약점(CVE-2022-3786, CVE-2022-3602)이 발견되어 공지 드립니다.
Openssl.org에서 발표된 주요 내용내용에 대해서는 아래를 참고 부탁드리며,
OpenSSL 3.0을 사용하시는 분들은 반드시 3.0.7 버전으로 업데이트를 부탁드립니다.
■ CVE-2022-3786 X.509 이메일 주소 가변 길이 버퍼 오버플로우
■ CVE-2022-3602 X.509 이메일 주소 4바이트 버퍼 오버플로우
1. 주요 타겟 및 조치 대상
•
OpenSSL 3.0.0 - 3.0.6 사용자. 3.0.7로 업그레이드 권고
2. 3.0 이전 릴리즈에는 영향을 주지 않음
•
OpenSSL 1.0.2, 1.1.1 및 기타 이전 버전은 영향을 받지 않음
•
즉 1.1.1s에 대한 업데이트를 출시했지만 이것은 버그 수정 릴리스일 뿐이며 보안 수정 사항은 포함되어 있지 않음
3. OpenSSL 3.0을 사용하는 모든 애플리케이션은 기본적으로 취약
•
신뢰할 수 없는 출처에서 받은 X.509 인증서를 확인하는 모든 OpenSSL 3.0 응용 프로그램은 취약한 것으로 간주
4. 업그레이드할 수 있을 때까지 완화 방법
•
TLS 서버를 운영하는 사용자는 수정 사항이 적용될 때까지 사용 중인 경우 TLS 클라이언트 인증을 비활성화하는 것을 고려
5. TLS/SSL 인증서 교체 여부
•
아닙니다. TLS/SSL 인증서는 별도로 교체할 필요가 없습니다.
6. 어떤 버전의 OpenSSL을 사용해야 하는지
•
최신 버전의 OpenSSL 3.0(현재 3.0.7)을 사용하려면 새 애플리케이션을 개발
•
OpenSSL 3.0을 사용하는 기존 애플리케이션은 가능한 한 빨리 3.0.7로 업그레이드 해야 함
•
OpenSSL 1.1.1은 2023년 9월 11일까지 지원
•
이전 버전의 OpenSSL(예: 1.0.2) 사용자는 OpenSSL 3.0.7으로 업그레이드하는 것이 좋음
•
OpenSSL 2 는 출시되지 않음
7. 패치본 다운로드 링크
•
OpenSSL 업데이트 시 반드시 서비스 영향도를 파악하신 후 업데이트를 부탁드립니다.
8. OpenSSL 버전 확인 명령어
•
Linux의 경우 명령어 창에서 "openssl version" 입력
•
Windows의 경우, cmd에서 Apache 홈 위치에 bin 폴더로 이동하여 "openssl version" 입력
관련 업데이트는 반드시 관련된분들(개발자, 엔지니어 등)과 논의하여 진행하시길 부탁드립니다.
자세한 사항은 첨부된 "한국기업보안_Openssl취약점_QNA(Openssl 블로그 번역본)_sign" 파일 참고를 부탁드리겠습니다.
관련으로 궁금하신 사항은 언제든지 02-514-7786으로 연락 부탁드리겠습니다.
감사합니다.