회원가입 | ID / PASS 찾기
공지사항
1:1문의
자주묻는질문
자료실
ns1.passway.co.kr
210.118.170.10
ns2.passway.co.kr
210.118.170.15
Home > 고객센터 > 공지사항
 
작성일 : 22-11-18 09:13
OpenSSL 3.0.0~3.0.6에서 취약점(CVE-2022-3786, CVE-2022-3602) 공지
 글쓴이 : 최고관리자
조회 : 2,366  

Openssl.org에서 발표된 주요 내용입니다.
OpenSSL 3.0을 사용하시는 분들은 반드시 3.0.7 버전으로 업데이트하시기 바랍니다. 


■ CVE-2022-3786 X.509 이메일 주소 가변 길이 버퍼 오버플로우
■ CVE-2022-3602 X.509 이메일 주소 4바이트 버퍼 오버플로우

1. 주요 타겟 및 조치 대상
- OpenSSL 3.0.0 - 3.0.6 사용자. 3.0.7로 업그레이드 권고
 
2. 3.0 이전 릴리즈에는 영향을 주지 않음
- OpenSSL 1.0.2, 1.1.1 및 기타 이전 버전은 영향을 받지 않음
- 즉 1.1.1s에 대한 업데이트를 출시했지만 이것은 버그 수정 릴리스일 뿐이며 보안 수정 사항은 포함되어 있지 않음
 
3. OpenSSL 3.0을 사용하는 모든 애플리케이션은 기본적으로 취약
- 신뢰할 수 없는 출처에서 받은 X.509 인증서를 확인하는 모든 OpenSSL 3.0 응용 프로그램은 취약한 것으로 간주
 
4. 업그레이드할 수 있을 때까지 완화 방법
- TLS 서버를 운영하는 사용자는 수정 사항이 적용될 때까지 사용 중인 경우 TLS 클라이언트 인증을 비활성화하는 것을 고려


5. TLS/SSL 인증서 교체 여부
- 아닙니다. TLS/SSL 인증서는 별도로 교체할 필요가 없습니다. 
 
6. 어떤 버전의 OpenSSL을 사용해야 하는지
- 최신 버전의 OpenSSL 3.0(현재 3.0.7)을 사용하려면 새 애플리케이션을 개발
- OpenSSL 3.0을 사용하는 기존 애플리케이션은 가능한 한 빨리 3.0.7로 업그레이드 해야 함
- OpenSSL 1.1.1은 2023년 9월 11일까지 지원
- 이전 버전의 OpenSSL(예: 1.0.2) 사용자는 OpenSSL 3.0으로 업그레이드하는 것이 좋음
- OpenSSL 2 는 출시되지 않음


7. 패치본 다운로드 링크
https://www.openssl.org/source/
https://ubuntu.com/security/notices/USN-5710-1 (ubuntu)

OpenSSL 업데이트 시 반드시 서비스 영향도를 파악하신 후 업데이트를 부탁드립니다.

8. OpenSSL 버전 확인 명령어
- Linux의 경우 명령어 창에서 "openssl version" 입력
- Windows의 경우, cmd에서 Apache 홈 위치에 bin 폴더로 이동하여 "openssl version" 입력



관련 업데이트는 반드시 개발자/엔지니어 등과 논의하여 진행하시길 바랍니다.



참고 링크 :
https://www.openssl.org/
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/ 

 
 
 

상호: 나눔시스템 | 대표: 김광동 | 사업자등록번호: 775-08-00702 | 대표번호: 1544-2373 | 팩스: 031-811-4047
주소: 경기도 고양시 덕양구 충장로 118-30 | 통신판매업 신고번호: 서울강남 0341 | 이메일 : web@passway.co.kr