OpenSSL 패치가 나왔습니다 – CRITICAL 버그가 HIGH로 다운그레이드되었지만 어쨌든 패치입니다!

중요한 사항부터 시작하겠습니다: 지난 주에 발표된 널리 기다려온 OpenSSL 버그 수정 밖으로.

OpenSSL 1.1.1은 다음으로 이동합니다. 버전 1.1.1s, 그리고 나열된 보안 관련 버그 하나를 패치하지만 이 버그에는 보안 등급이나 공식 CVE 번호가 없습니다.

업데이트할 것을 강력히 권장하지만 사이버 보안 미디어에서 본 CRITICAL 업데이트는 이 버전에 적용되지 않습니다.

OpenSSL 3.0은 다음으로 이동합니다. 버전 3.0.7, 공식적으로 심각도 높음으로 지정된 CVE 번호가 지정된 보안 버그가 한 두 개도 아닌 두 개를 패치합니다.

가능한 한 긴급하게 업데이트할 것을 강력히 권장하지만, 모두가 이야기했던 CRITICAL 수정 사항은 이제 심각도가 높음으로 다운그레이드되었습니다.

이것은 OpenSSL 팀의 의견을 반영합니다.

사전 공지 CVE-2022-3602 이 문제를 CRITICAL로 설명했습니다. [릴리스 노트]에 설명된 완화 요소 중 일부를 기반으로 한 추가 분석을 통해 이 값을 HIGH로 하향 조정했습니다. 사용자는 여전히 가능한 한 빨리 새 버전으로 업그레이드하는 것이 좋습니다.

아이러니하게도 두 번째 및 유사한 버그 CVE-2022-3786, CVE-2022-3602에 대한 수정 사항을 준비하는 동안 발견되었습니다.

원래 버그는 공격자가 스택에서 46바이트만 손상시키는 것을 허용하여 구멍의 악용 가능성을 제한하는 반면 두 번째 버그는 스택 오버플로의 무제한을 허용하지만 분명히 "점" 문자(ASCII 0 또는 2xXNUMXE)만 허용합니다. )를 계속해서 반복합니다.

두 취약점 모두 TLS 인증서 확인 중에 노출되며, 여기서 부비 트랩된 클라이언트 또는 서버는 의도적으로 잘못된 형식의 TLS 인증서를 사용하여 다른 쪽 끝에 있는 서버 또는 클라이언트에 자신을 "식별"합니다.

이러한 종류의 스택 오버플로(하나는 제한된 크기와 다른 하나는 제한된 데이터 값)는 코드 실행을 위해 악용하기 어려운 것처럼 들리지만(특히 64비트 소프트웨어에서 XNUMX바이트가 메모리 주소의 절반에 불과함) …

… 그들은 DoS(서비스 거부) 공격에 쉽게 악용될 것이 거의 확실합니다. 여기서 불량 인증서를 보낸 사람이 임의로 해당 인증서의 받는 사람을 충돌시킬 수 있습니다.

다행히 대부분의 TLS 교환에는 클라이언트가 서버 인증서를 확인하는 것이 포함되며 그 반대는 아닙니다.

예를 들어, 대부분의 웹 서버는 방문자가 사이트를 읽기 전에 인증서로 자신을 식별할 것을 요구하지 않으므로 작동하는 익스플로잇의 "충돌 방향"은 일반적으로 간주되는 불운한 방문자를 충돌시키는 불량 서버일 가능성이 높습니다 단일 불량 방문자가 탐색할 때마다 서버가 충돌하는 것보다 훨씬 덜 심각합니다.

그럼에도 불구하고 해킹된 웹 또는 이메일 서버가 방문하는 브라우저나 이메일 앱을 무료로 충돌시킬 수 있는 모든 기술은 위험한 것으로 간주되어야 합니다. 특히 클라이언트 소프트웨어가 연결을 다시 시도하면 앱이 계속해서 충돌하게 되기 때문입니다. 다시.

따라서 당신은 확실히 원합니다 가능한 한 빨리 이에 대한 패치.

무엇을해야 하는가?

위에서 언급했듯이 필요한 OpenSSL 1.1.1s or 오픈 SSL 3.0.7 현재 가지고 있는 버전을 대체합니다.

OpenSSL 1.1.1s 수정으로 설명 된 보안 패치를 얻습니다. "OpenSSL 1.1.1r에 도입된 회귀[다시 나타난 오래된 버그]가 인증서에 서명하기 전에 서명할 인증서 데이터를 새로 고치지 않음", 해당 버그에는 심각도나 CVE가 할당되어 있지 않습니다...

...하지만 가능한 한 빨리 업데이트를 미루지 마십시오.

오픈 SSL 3.0.7 위에 나열된 두 가지 CVE 번호의 높음 심각도 수정 사항을 가져오고 이 릴리스로 이어지는 뉴스 페스트에서와 같이 지금은 그다지 무섭지 않게 들리지만 다음을 가정해야 합니다.

• 많은 공격자들은 DoS 목적으로 이러한 허점을 악용하는 방법을 빠르게 알아낼 것입니다. 이는 기껏해야 워크플로 중단을 야기할 수 있고 최악의 경우 사이버 보안 문제를 일으킬 수 있습니다. 특히 버그가 IT 에코시스템에서 중요한 자동화 프로세스(예: 업데이트)의 속도를 늦추거나 중단시키는 데 악용될 수 있는 경우 더욱 그렇습니다.
• 일부 공격자는 원격 코드 실행을 위해 이러한 버그를 랭글링할 수 있습니다. 이것은 범죄자들이 부비 트랩된 웹 서버를 사용하여 자신의 비즈니스에서 보안 다운로드에 사용되는 클라이언트 소프트웨어를 전복시킬 수 있는 좋은 기회를 제공합니다.
• PoC(개념 증명)가 발견되면 큰 관심을 끌 것입니다. Log4Shell에서 기억할 수 있듯이 PoC가 게시되자마자 자칭 "연구원"이라고 하는 수천 명의 사람들이 사람들이 찾는 것을 "돕는다"는 미명 아래 인터넷 검색 및 공격에 뛰어들었습니다. 그들의 네트워크에 문제가 있습니다.

OpenSSL 1.0.2는 계속 지원되고 업데이트되지만 OpenSSL 팀과 계약을 맺은 고객에게만 비공개로 제공되므로 CVE를 확인하는 것 외에는 여기에 공개할 정보가 없습니다. -OpenSSL 3.0의 번호가 매겨진 버그는 OpenSSL 1.0.2 시리즈에 적용되지 않습니다.

여러분의 시간과 재능으로 더 읽기, 그리고 당신의 OpenSSL 업데이트, 로부터 OpenSSL 웹사이트.

아, 그리고 PoC가 온라인에 나타나기 시작한다면, 당신이 어떤 종류의 "연구"를 "돕고" 있다는 인상으로 다른 사람의 컴퓨터에 대해 그 PoC를 "시도"하기 시작하지 마십시오.

---