콜린 티에리
OpenSSL 프로젝트는 최근 통신 채널 및 HTTPS 연결을 암호화하는 데 사용되는 오픈 소스 암호화 라이브러리에서 두 가지 심각도가 높은 보안 결함을 패치했습니다.
이러한 취약점(CVE-2022-3602 및 CVE-2022-3786) OpenSSL 버전 3.0.0 이상에 영향을 미치며 OpenSSL 3.0.7에서 해결되었습니다.
CVE-2022-3602는 충돌 또는 원격 코드 실행(RCE)을 유발하는 데 악용될 수 있으며, CVE-2022-3786은 공격자가 악성 이메일 주소를 통해 서비스 거부 상태를 트리거하는 데 악용될 수 있습니다.
OpenSSL 팀은 "우리는 여전히 이러한 문제를 심각한 취약점으로 간주하고 영향을 받는 사용자는 가능한 한 빨리 업그레이드하는 것이 좋습니다."라고 말했습니다. 성명서 화요일에.
"우리는 원격 코드 실행으로 이어질 수 있는 작동 중인 익스플로잇에 대해 알지 못하며 이 게시물이 게시되는 시점에서 이러한 문제가 익스플로잇되었다는 증거가 없습니다."라고 덧붙였습니다.
OpenSSL에 따르면 보안 정책, 회사(예: ExpressVPN) 및 IT 관리자는 경고 지난 주에 OpenSSL 3.0.7이 출시되면 취약점에 대한 환경을 검색하고 패치를 준비했습니다.
"OpenSSL 3.0+를 어디에서 사용하고 어떻게 사용하는지 미리 알고 있으면 권고가 올 때 영향을 받는지 여부와 영향을 받는 방법과 패치해야 할 항목을 빠르게 결정할 수 있습니다." 말했다 OpenSSL 창립자 Mark J Cox가 트위터에 올린 글.
OpenSSL은 또한 TLS(전송 계층 보안) 서버를 운영하는 관리자가 패치가 적용될 때까지 TLS 클라이언트 인증을 비활성화하도록 요구하는 완화 조치를 제공했습니다.
취약점의 영향은 CVE-2022-3602가 위험에서 높음으로 다운그레이드되었으며 OpenSSL 3.0 이상 인스턴스에만 영향을 미친다는 점을 감안할 때 처음 생각했던 것보다 훨씬 제한적이었습니다.
클라우드 보안 회사별 위즈아이오, 전체 OpenSSL 인스턴스의 1.5%만이 주요 클라우드 환경(AWS, GCP, Azure, OCI 및 Alibaba Cloud 포함)에 걸친 배포를 분석한 후 보안 결함의 영향을 받는 것으로 밝혀졌습니다.
네덜란드 국가사이버보안센터도 공유 명부 OpenSSL 취약점의 영향을 받지 않는 것으로 확인된 소프트웨어 제품의 비율.
