OpenSSL 3 패치는 한때 “중요”했지만 지금은 “높음”으로 버퍼 오버플로를 수정합니다.

OpenSSL 취약점은 인터넷 변경 Heartbleed 버그가 수정된 이후 첫 번째 중요 수준 수정으로 표시되었습니다 . 이는 결국 모든 OpenSSL 3.x 설치에 영향을 미치는 버퍼 오버플로에 대한 “높은” 보안 수정으로 나타났지만 원격 코드 실행을 유발할 가능성은 낮습니다.

OpenSSL 버전 3.0.7은 중요한 보안 패치로 지난주에 발표되었습니다 . 특정 취약점(현재 CVE-2022-37786 및 CVE-2022-3602 )은 현재까지 거의 알려지지 않았지만 웹 보안 분석가와 회사는 눈에 띄는 문제와 유지 관리 문제가 있을 수 있음을 암시했습니다. Fedora를 포함한 일부 Linux 배포판은 패치가 출시될 때까지 출시를 연기했습니다. Akamai는 패치 이전에 모니터링 대상 네트워크의 절반에 OpenSSL 3.x의 취약한 인스턴스가 있는 시스템이 하나 이상 있으며 이러한 네트워크 중 0.2~33%의 시스템이 취약하다고 밝혔습니다.

그러나 대부분의 최신 플랫폼에서 스택 레이아웃으로 완화되는 제한된 상황, 클라이언트 측 오버플로와 같은 특정 취약점은 이제 패치되었으며 “높음” 등급을 받았습니다. 그리고 OpenSSL 1.1.1은 여전히 ​​장기 지원 중이므로 OpenSSL 3.x는 널리 보급되지 않았습니다.

맬웨어 전문가 Markus Hutchins는 코드 문제를 자세히 설명하는 GitHub의 OpenSSL 커밋을 가리 킵니다. “코드 디코딩 기능에서 두 개의 버퍼 오버플로를 수정했습니다.” X.509 인증서로 검증된 악의적인 이메일 주소는 플랫폼 및 구성에 따라 스택에서 바이트 오버플로를 유발하여 충돌 또는 잠재적으로 원격 코드 실행으로 이어질 수 있습니다.

그러나이 취약점은 대부분 서버가 아닌 클라이언트에 영향을 미치므로 Heartbleed와 같은 인터넷 보안 재설정 (및 부조리)은 따르지 않을 것입니다. 예를 들어 OpenSSL 3.x 및 Node.js와 같은 언어를 사용하는 VPN이 영향을 받을 수 있습니다. 사이버 보안 전문가 Kevin Beaumont는 대부분의 Linux 배포판의 기본 구성에서 스택 오버플로 보호가 코드 실행을 방지해야 한다고 지적합니다.

중요한 발표와 높은 수준의 릴리스 간에 변경된 사항은 무엇입니까? OpenSSL 보안 팀은 블로그 에 약 일주일 후 조직에서 테스트하고 피드백을 제공했다고 씁니다. 일부 Linux 배포판에서는 단일 공격에서 가능한 4바이트 오버플로가 아직 사용되지 않은 인접 버퍼를 덮어쓰므로 시스템이 충돌하거나 코드가 실행될 수 없습니다. 또 다른 취약점으로 인해 공격자는 오버플로의 길이만 설정할 수 있었고 내용은 설정할 수 없었습니다.

따라서 여전히 충돌이 발생할 수 있고 원격 코드 실행을 허용하도록 일부 스택을 정렬할 수 있지만 이는 가능성이 낮거나 쉬우므로 취약성을 “높음”으로 줄입니다. 그러나 OpenSSL 버전 3.x 구현 사용자는 가능한 한 빨리 패치를 설치해야 합니다. 그리고 모든 사람은 다양한 하위 시스템에서 이러한 문제를 해결할 수 있는 소프트웨어 및 OS 업데이트를 주시해야 합니다.

모니터링 서비스 Datadog은 문제에 대한 좋은 설명 에서 해당 보안 연구팀이 OpenSSL 3.x 버전을 개념 증명으로 사용하여 Windows 배포에 실패할 수 있었다고 지적합니다. 그리고 Linux 배포가 악용될 가능성은 낮지만 “Linux 배포용으로 구축된 악용”은 여전히 ​​나타날 수 있습니다.

NCSL-NL(National Cyber ​​Security Center of the Netherlands)에는 현재 OpenSSL 3.x 익스플로잇에 취약한 소프트웨어 목록이 있습니다. 널리 사용되는 수많은 Linux 배포판, 가상화 플랫폼 및 기타 도구가 취약한 것으로 나열되거나 조사 중입니다.