kcs 로고

Notice

[유서트] OpenSSL 3.0.0~3.0.6 취약점(CVE-2022-3786, CVE-2022-3602) 발견 공지 (업데이트 필수)
2022-11-02 조회수 : 0

안녕하세요.
한국기업보안 유서트입니다. 

OpenSSL 3.0.0~3.0.6
에서 취약점(CVE-2022-3786, CVE-2022-3602)이 발견되어 공지 드립니다.

Openssl.org
에서 발표된 주요 내용내용에 대해서는 아래를 참고 부탁드리며,
OpenSSL 3.0
을 사용하시는 분들은 반드시 3.0.7 버전으로 업데이트를 부탁드립니다


 CVE-2022-3786 X.509 이메일 주소 가변 길이 버퍼 오버플로우
 CVE-2022-3602 X.509 이메일 주소 4바이트 버퍼 오버플로우


1.
주요 타겟 및 조치 대상

- OpenSSL 3.0.0 - 3.0.6
사용자. 3.0.7로 업그레이드 권고

 

 


2. 3.0
이전 릴리즈에는 영향을 주지 않음

- OpenSSL 1.0.2, 1.1.1
및 기타 이전 버전은 영향을 받지 않음

-
1.1.1s에 대한 업데이트를 출시했지만 이것은 버그 수정 릴리스일 뿐이며 보안 수정 사항은 포함되어 있지 않음



3. OpenSSL

3.0
을 사용하는 모든 애플리케이션은 기본적으로 취약

-
신뢰할 수 없는 출처에서 받은 X.509 인증서를 확인하는 모든 OpenSSL 3.0 응용 프로그램은 취약한 것으로 간주



4.
업그레이드할 수 있을 때까지 완화 방법

- TLS
서버를 운영하는 사용자는 수정 사항이 적용될 때까지 사용 중인 경우 TLS 클라이언트

인증을 비활성화하는 것을 고려




5. TLS/SSL
인증서 교체 여부

-
아닙니다. TLS/SSL 인증서는 별도로 교체할 필요가 없습니다



6.
어떤 버전의 OpenSSL을 사용해야 하는지

-
최신 버전의 OpenSSL 3.0(현재 3.0.7)을 사용하려면 새 애플리케이션을 개발

- OpenSSL 3.0
을 사용하는 기존 애플리케이션은 가능한 한 빨리 3.0.7로 업그레이드해야 함

- OpenSSL 1.1.1
2023 9 11일까지 지원

-
이전 버전의 OpenSSL 사용자는 OpenSSL 3.0으로 업그레이드하는 것이 좋음

- OpenSSL 2
는 출시되지 않음



7. 패치본 다운로드 링크

https://www.openssl.org/source/

https://ubuntu.com/security/notices/USN-5710-1 (ubuntu)



* OpenSSL
업데이트 시 반드시 서비스 영향도를 파악하신 후 업데이트를 부탁드립니다.


8. OpenSSL 
확인 명령어


- Linux
의 경우 명령어 창에서 "openssl version" 입력

- Windows
의 경우, cmd에서 Apache

위치에 bin 폴더로 이동하여 "openssl version" 입력


자세한 사항은 첨부드린 OpeenSSL blog QNA 번역복을 참고 부탁드리겠습니다. 


관련으로 궁금하신 사항은 언제든지 02-514-7786으로 연락 부탁드리겠습니다.

감사합니다.





유서트 드림.








참고 링크 :

https://www.openssl.org/

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/