[공지]OpenSSL 취약점 보안 업데이트 CVE-2020-1967

안녕하세요. 한국전자인증 입니다.

2020년 4월 23일자로 업데이트된 내용을 공지해드립니다

1. 개요

– OpenSSL에서 발생하는 취약점을 해결한 보안 업데이트 발표 입니다.

낮은 버전 사용자는 서비스 거부 공격에 취약하므로, 최신 버전으로 업데이트 권고합니다

2. 설명

핸드 쉐이킹 과정에서 유효하지 않은 서명 알고리즘(signature algorithm)을 처리할 때 널 포인터 역참조로 인해 크래시가 발생하는 서비스 거부 취약점(CVE-2020-1967)

3. 영향을 받는 제품

OpenSSL 1.1.1d 버전

OpenSSL 1.1.1e 버전

OpenSSL 1.1.1f 버전

※ 1.1.1d 이전 버전은 영향 받지 않음

4. OpenSSL 단계적 릴리즈

최신 안정 버전은 1.1.1 시리즈입니다.

이 버전은 2023 년 9 월 11 일까지 지원되는 LTS (Long Term Support) 버전이기도합니다.

1.1.0, 1.0.2, 1.0.0 및 0.9.8을 포함한 다른 모든 버전은 현재 지원되지 않으므로 사용해서는 안됩니다.

이러한 이전 버전의 사용자는 가능한 빨리 1.1.1로 업그레이드하는 것이 좋습니다.

해당 버전의 보안 수정에 액세스 할 수 있도록 1.0.2에 대한 확장 지원이 제공 됩니다.

5. 해결방법

영향받는 사용자는 최신버전으로 업데이트 적용

– OpenSSL 1.1.1g 버전으로 업데이트 적용

6. 문의처

기타 문의 사항은 한국인터넷진흥원 사이버민원센터

국번없이 118으로 문의 하시면 됩니다.

7. 참고 링크

KISA 보안공지

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35342

openssl.org 원문

https://www.openssl.org/source/