OpenSSL 보안 취약점 업데이트 권고 발표 ( CVE-2022-3602, CVE-2022-3786 )

created Nov 04, 2022 | updated Nov 04, 2022

최근 OpenSSL에 치명적인 취약점이 발견되었다고 전 세계적인 보안 위기가 기사화 되고 있었다. 그리고 2022년 11월 1일, OpenSSL에서 취약점에 대한 업데이트와 권고 내용을 발표했다.

취약점


개요

이번 취약점은 OpenSSL 3.0.0부터 도입된 Name Constraints 중 email address를 처리하는 곳에서 발견되었다. 인증서 확장 필드 중 Name Constraints 라는 것이 있다. 인증 경로 상의 인증서의 Subject Distinguished Name과 Subject Alternative Name을 제약하기 위해 CA에서 사용한다. Name Constraints는 주로 Directory Name, DNS, Email address 등에서 적용된다.

CVE-2022-3602

  • X.509 Email Address 4-byte Buffer Overflow
  • Severity: High (Pre-announcement Severity : CRITICAL)
    • 원격 실행이 가능할 수 있기 때문에 위험성을 CRITICAL로 알렸지만, 발생할 수 있는 상황이 제한적이므로 (많은 플랫폼에서 오버플로우 보호 조치가 되어 있음) 수준이 HIGH로 하향 조정되었다.
  • X.509 인증서 검증에서 발생할 수 있다.
  • 인증서 체인 서명 검증 후 CA가 악의적인 인증서에 서명했거나 신뢰 발급자까지 인증 경로 구축에 실패했어도 애플리케이션이 인증서 검증을 계속하도록 요구된다.
  • 공격자는 제어 가능한 4 bytes가 스택에서 오버플로우 되도록 악의적인 이메일 주소를 만들 수 있다.
  • 이 버퍼 오버플로우는 서비스를 거부하는 크래쉬나 잠재적인 원격 코드 실행을 발생시킬 수 있다.
  • 이 이슈로 영향받는 OpenSSL 버전은 3.0.0 ~ 3.0.6 이다. 이 경우 3.0.7로 업그레이드 해야한다.
  • OpenSSL 1.1.1, 1.0.2은 이 취약점에 영향받지 않는다.

CVE-2022-3786

  • X.509 Email Address Variable Length Buffer Overflow
  • Severity: High
  • X.509 인증서 검증에서 발생할 수 있다.
  • 인증서 체인 서명 검증 후 CA가 악의적인 인증서에 서명했거나 신뢰 발급자까지 인증 경로 구축에 실패했어도 애플리케이션이 인증서 검증을 계속하도록 요구된다.
  • 공격자는 오버플로우 되도록 무작위 개수의 `.' character (decimal 46)를 포함해 악의적인 이메일 주소를 만들 수 있다.
  • 이 버퍼 오버플로우는 서비스를 거부하는 크래쉬가 발생될 수 있다.
  • 이 이슈로 영향받는 OpenSSL 버전은 3.0.0 ~ 3.0.6 이다. 이 경우 3.0.7로 업그레이드 해야한다.
  • OpenSSL 1.1.1, 1.0.2은 이 취약점에 영향받지 않는다.

OpenSSL 버전 확인


  • version 확인 방법
openssl version -a

AWS 사용 시 OpenSSL 버전 업데이트


  • AWS의 공지 내용을 확인하면 AWS Service는 이 취약점에 영향받지 않는다고 한며, Amazon Linux 1과 2는 OpenSSL 3.0을 사용하지 않는다고 한다.
    • 내용 발췌 : AWS is aware of the recently reported issues regarding OpenSSL 3.0 (CVE-2022-3602 and CVE-2022-3786). AWS services are not affected, and no customer action is required. Additionally, Amazon Linux 1 and Amazon Linux 2 do not ship with OpenSSL 3.0 and are not affected by these issues.
    • 원문 : AWS OpenSSL 취약점 이슈 공지
  • Amazon Linux 2 AMI를 사용한 EC2에서 OpenSSL 버전을 확인한 결과
$ openssl version -a
OpenSSL 1.0.2k-fips  26 Jan 2017built on: reproducible build, date unspecified
platform: linux-x86_64
options:  bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -I. -I.. -I../include  -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches    -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DRC4_ASM -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  rdrand dynamic 

참고


※ 이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.

유리아쥬 제모스 스틱 레브르 립밤 4g x 10개, 12개, 무향솔가 어드밴스드 칼슘 컴플렉스 타블렛, 120개입, 1개커세어 코리아 정품 DARK CORE PRO 무선 충전 RGB 게이밍 마우스 / 다용도 에코백 사은품 증정, 혼합색상, RGP0076