English

◀◁ 뒤로 취약점ID 210226 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 원격 호스트에 설치된 OpenSSL 버전이 3.0.6 이전입니다. 따라서 3.0.6 권고사항에 언급된 취약성의 영향을 받습니다. - OpenSSL은 과거 EVP_CIIPER_meth_new() 함수와 관련 함수 호출을 통한 사용자 지정 암호 생성을 지원합니다.이 기능은 OpenSSL 3.0에서 더 이상 사용되지 않으며 애플리케이션 작성자는 사용자 지정 암호를 구현하기 위해 새로운 공급자 메커니즘을 사용하도록 권장됩니다.OpenSSL 버전 3.0.0 ~ 3.0.5에서 EVP_EncryptInit_ex2(), EVP_DecryptInit_ex2(), EVP_CipherInit_ex2() 함수(유사한 이름의 다른 암호화 함수 및 암호 해독 초기화 함수)에 전달된 사용자 지정 암호를 잘못 처리합니다.사용자 지정 암호를 직접 사용하는 대신 사용 가능한 공급자로부터 동등한 암호를 잘못 가져오려고 시도합니다. EVP_CIPHER_meth_new()에 전달된 NID를 기반으로 동등한 암호를 찾습니다. 이 NID는 주어진 암호에 대한 고유한 NID를 나타내야 합니다.그러나 응용 프로그램이 EVP_CIPHER_meth_new() 호출에서 NID_undef를 이 값으로 잘못 전달할 수 있습니다. NID_undef가 이러한 방식으로 사용되면 OpenSSL 암호화/복호화 초기화 기능은 NULL 암호를 동등하게 일치시키고 사용 가능한 공급자로부터 이를 가져옵니다. 기본 공급자가 로드된 경우(또는 이 암호를 제공하는 타사 공급자가 로드된 경우) 성공합니다. NULL 암호를 사용한다는 것은 평문이 암호문으로 방출된다는 것을 의미합니다. 응용 프로그램은 NID_undef를 사용하여 EVP_CIPHER_meth_new()를 호출하고 이후에 암호화/암호 해독 초기화 기능에 대한 호출에서 이를 사용하는 경우에만 이 문제의 영향을 받습니다. SSL/TLS만 사용하는 응용 프로그램은 이 문제의 영향을 받지 않습니다. OpenSSL 3.0.6에서 수정되었습니다(3.0.0-3.0.5에 영향을 받음). (CVE-2022-3358) * 참고 사이트: https://cve.org/CVERecord?id=CVE-2022-3358 http://www.nessus.org/u?8748528d https://www.openssl.org/news/secadv/20221011.txt * 영향을 받는 플랫폼: 3.0.6 이전의 OpenSSL 3.0.x 버전들 Linux Any version Unix Any version Microsoft Windows Any version 해결책 OpenSSL 웹 사이트인 http://www.openssl.org/ 에서 구할 수 있는 OpenSSL의 가장 최신 버전(3.0.6 또는 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2022-3358 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)