[공지] openSSL 최신 업데이트 보안경고

안녕하세요. 한국전자인증 입니다.

OpenSSL의 3월 25일자에 업데이트된 내용입니다.

https://www.openssl.org/news/vulnerabilities.html#y2021 

OpenSSL TLS 서버에서 조작된 서명 알고리즘의 확장 필드를 처리할 때 포인터 역참조로 발생하는

서비스 거부 취약점(CVE-2021-3449)

심각도 : 높음

X509_V_FLAG_X509_STRICT 플래그를 사용하면 인증서 체인에있는 인증서. 기본적으로 설정되어 있지 않습니다.

OpenSSL 버전 1.1.1h부터 인증서를 허용하지 않는지 확인 명시 적으로 인코딩 된 타원 곡선 매개 변수가있는 체인이 추가되었습니다.

추가적인 엄격한 검사로. 이 검사 구현의 오류는 체인의 인증서가 유효한 CA인지 확인하기위한 이전 확인 인증서를 덮어 썼습니다.

이것은 효과적으로 검사를 우회합니다. 비 CA 인증서는 다른 인증서를 발급 할 수 없어야합니다. “목적”이 구성된 경우 후속 기회가 있습니다.

인증서가 유효한 CA인지 확인합니다. 명명 된 모든 “목적” libcrypto에 구현 된 값은이 검사를 수행합니다.

따라서 목적이 설정되어있는 경우에도 인증서 체인은 여전히 ​​거부됩니다. 엄격한 플래그가 사용되었습니다.

목적은 기본적으로 libssl 클라이언트에서 설정되며 서버 인증서 확인 루틴이지만 재정의되거나 응용 프로그램에 의해 제거되었습니다.

영향을 받으려면 애플리케이션이 명시 적으로 X509_V_FLAG_X509_STRICT 확인 플래그 및 목적을 설정하지 않음 인증서 확인 또는 TLS 클라이언트 또는 서버의 경우 응용 프로그램의 경우 기본 용도를 재정의합니다.

OpenSSL 버전 1.1.1h 이상이이 문제의 영향을받습니다. 이들의 사용자 버전은 OpenSSL 1.1.1k로 업그레이드해야합니다. OpenSSL 1.0.2는이 문제의 영향을받지 않습니다.

OpenSSL에서 유효하지 않은 인증서를 검증하는 기능을 우회하는

보안기능 우회 취약점(CVE-2021-3450)

심각도 : 높음

악의적으로 제작 된 재협상을 보내면 OpenSSL TLS 서버가 충돌 할 수 있습니다.

클라이언트의 ClientHello 메시지. TLSv1.2 재협상 ClientHello가 생략 된 경우 signature_algorithms 확장 (이니셜에있는 ClientHello),하지만 signature_algorithms_cert 확장이 포함 된 다음 NULL 포인터 역 참조가 발생하여 충돌 및 서비스 거부가 발생합니다.

공격. 서버는 TLSv1.2가 있고 재협상이 활성화 된 경우에만 취약합니다. 기본 구성 임). OpenSSL TLS 클라이언트는 이에 영향을받지 않습니다. 발행물. 모든 OpenSSL 1.1.1 버전이이 문제의 영향을받습니다. 이 버전의 사용자 OpenSSL 1.1.1k로 업그레이드해야합니다. OpenSSL 1.0.2는이 문제의 영향을받지 않습니다.

OpenSSL 1.1.1k로 업그레이드해야합니다.

.