OpenSSL 3.0.0 ~ 3.0.6 취약점 패치 발표

어제 블로그에 작성한 OpenSSL 3.x 버전의 취약점에 대한 패치가 발표되었다.

3.0.7로 업데이트를 권고하고 있으며, 해당 취약점은 오버플로우를 일으킨다.

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog

내용은 아래와 같다.

• OpenSSL에서 X.509 인증서 검증의 이름 제약 검사 기능에서 버퍼 오버런 취약점 발견
• 인증서 체인 서명 확인 후에 발생하며, CA가 악성 인증서에 서명 및 응용 프로그램이 신뢰할 수 있는 발급자에 대한 경로를 구성함에 실패하여도 인증서 확인을 계속 진행
• 버퍼 오버런을 트리거하도록 설계된 퓨니코드를 조작하여 스택에서 공격자가 제어하는 4바이트를 오버플로 하도록 악성 이메일 주소를 만들 수 있음
  • 이때 발생하는 버퍼 오버플로를 통해 서비스 거부 또는 원격 코드 실행이 발생
• 대부분의 많은 플랫폼들은 원격 코드 실행에 대한 스택 오버플로 보호 기능이 포함되어 있고 일부 Linux 배포판에서는 RCE와 DOS가 모두 실현 가능하지 않다는 사실로 인해 RCE의 가능성이 완화되었다고 판단
• 일반적으로 RCE에 대한 위험은 낮지만 0이 아니기 때문에 취약점의 심각도가 Critical에서 High로 변경
• [참고]NHN Cloud 공지사항 : https://www.toast.com/kr/support/notice/detail/3718

NHN Cloud

또한 프로그램 설치 및 OS에 따라 OpenSSL 3버전이 있는 경우가 있다.

해당 github를 통해 조금이라도 확인하여 취약한 버전이라면 업데이트를 권고한다.

https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software?s=08 

GitHub - NCSC-NL/OpenSSL-2022: Operational information about the recently announced vulnerability in OpenSSL 3

PoC도 공개가 되었다.!!!

https://github.com/colmmacc/CVE-2022-3602

GitHub - colmmacc/CVE-2022-3602

참고하면 좋을것 같다.