Ãë¾àÁ¡ID |
210241 |
À§Çèµµ |
30 |
Æ÷Æ® |
80, ... |
ÇÁ·ÎÅäÄÝ |
TCP |
ºÐ·ù |
WWW |
»ó¼¼¼³¸í |
¿ø°Ý È£½ºÆ®¿¡ ¼³Ä¡µÈ OpenSSLÀº 3.0.9 ÀÌÀüÀÔ´Ï´Ù. µû¶ó¼ 3.0.9 ±Ç°í¿¡ ³ª¿µÈ ¿©·¯ Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ½À´Ï´Ù.
- ÇÔ¼ö X509_VERIFY_PARAM_add0_policy()°¡ ¹®¼ÈµÇ¾î ÀÎÁõ¼ °ËÁõÀ» ¼öÇàÇÒ ¶§ ÀÎÁõ¼ Á¤Ã¥ üũ°¡ È°¼ºÈµË´Ï´Ù. ´Ü, ÇÔ¼ö ±¸ÇöÀº üũ¸¦ È°¼ºÈÇÏÁö ¾Ê½À´Ï´Ù.ÀÌ·Î ÀÎÇØ ¹«È¿À̰ųª ºÎÀûÀýÇÑ Á¤Ã¥À» °¡Áø Áõ¸í¼°¡ ÀÎÁõ¼ °ËÁõ¿¡ ÇÕ°ÝÇÒ ¼ö ÀÖ½À´Ï´Ù. Á¤Ã¥ °Ë»ç¸¦ °©ÀÚ±â È°¼ºÈÇÏ¸é ±âÁ¸ µðÇ÷ÎÀ̸ÕÆ®°¡ Áß´ÜµÉ ¼ö ÀÖÀ¸¹Ç·Î X509_VERIFY_PARAM_add0_policy() ÇÔ¼öÀÇ ±âÁ¸ µ¿ÀÛÀ» À¯ÁöÇÏ´Â °ÍÀ¸·Î °áÁ¤µÇ¾ú½À´Ï´Ù.´ë½Å ÀÎÁõ¼ Á¤Ã¥ üũ¸¦ ¼öÇàÇϱâ À§ÇØ OpenSSLÀ» ÇÊ¿ä·Î ÇÏ´Â ¾ÖÇø®ÄÉÀ̼ÇÀº X509_VERIFY_PARAM_set1_policy()¸¦ »ç¿ëÇϰųª X509_VERIFY_PARAM_set_flags()¸¦ X509_V_FLAG_POLICK Ç÷¡±× Àμö·Î È£ÃâÇÏ¿© Á¤Ã¥ üũ¸¦ ¸í½ÃÀûÀ¸·Î È°¼ºÈÇØ¾ß ÇÕ´Ï´Ù. ÀÎÁõ¼ Á¤Ã¥ üũ´Â OpenSSL¿¡¼´Â ±âº»ÀûÀ¸·Î ºñÈ°¼ºÈµÇ¾î ÀÖÀ¸¸ç ÀÀ¿ë ÇÁ·Î±×·¥¿¡¼´Â ÀϹÝÀûÀ¸·Î »ç¿ëµÇÁö ¾Ê½À´Ï´Ù.(CVE-2023-0466)
- Á¤Ã¥ Á¦¾àÀ» Æ÷ÇÔÇÑ X.509 ÀÎÁõ¼ üÀÎ °ËÁõ°ú °ü·ÃµÈ OpenSSLÀÇ Áö¿øµÇ´Â ¸ðµç ¹öÀü¿¡¼ º¸¾È Ãë¾à¼ºÀÌ ¹ß°ßµÇ¾ú½À´Ï´Ù.°ø°ÝÀÚ´Â ¾ÇÀÇÀûÀÎ ÀÎÁõ¼ üÀÎÀ» ÀÛ¼ºÇÏ¿© °è»ê ¸®¼Ò½º¸¦ Áö¼ö ÇÔ¼öÀûÀ¸·Î »ç¿ëÇÔÀ¸·Î½á ÀÌ Ãë¾à¼ºÀ» ¾Ç¿ëÇÏ°í ¿µÇâÀ» ¹Þ´Â ½Ã½ºÅÛ¿¡¼ ¼ºñ½º °ÅºÎ(DoS) °ø°ÝÀ» ÀÏÀ¸Å³ ¼ö ÀÖ½À´Ï´Ù.Á¤Ã¥ 󸮴 ±âº»ÀûÀ¸·Î ºñÈ°¼ºÈµÇ¾î ÀÖÁö¸¸ "-policy" Àμö¸¦ ¸í·ÉÁÙ À¯Æ¿¸®Æ¼¿¡ Àü´ÞÇϰųª "X509_VERIFY_PARAM_set1_policy()" ÇÔ¼ö¸¦ È£ÃâÇÏ¿© È°¼ºÈÇÒ ¼ö ÀÖ½À´Ï´Ù.(CVE-2023-0464)
- ÀÎÁõ¼ °ËÁõ ½Ã ±âº»°ª ÀÌ¿ÜÀÇ ¿É¼ÇÀ» »ç¿ëÇÏ´Â ¾ÖÇø®ÄÉÀ̼ÇÀº ƯÁ¤ °Ë»ç¸¦ ÇÇÇϱâ À§ÇØ ¾ÇÀÇÀûÀÎ CA °ø°Ý¿¡ Ãë¾àÇÒ ¼ö ÀÖ½À´Ï´Ù.¸®ÇÁ ÀÎÁõ¼ÀÇ À¯È¿ÇÏÁö ¾ÊÀº ÀÎÁõ¼ Á¤Ã¥Àº OpenSSL¿¡ ÀÇÇØ °æ°í ¾øÀÌ ¹«½ÃµÇ¸ç ÇØ´ç ÀÎÁõ¼¿¡ ´ëÇÑ ´Ù¸¥ ÀÎÁõ¼ Á¤Ã¥ üũ´Â °Ç³Ê¶Ù¾îÁý´Ï´Ù.¾ÇÀÇÀûÀÎ CA°¡ À̸¦ »ç¿ëÇÏ¿© ÀÎÁõ¼ Á¤Ã¥ °Ë»ç¸¦ ¿ÏÀüÈ÷ ȸÇÇÇϱâ À§ÇØ À߸øµÈ ÀÎÁõ¼ Á¤Ã¥À» ÀǵµÀûÀ¸·Î ¼³Ä¡ÇÒ °¡´É¼ºÀÌ ÀÖ½À´Ï´Ù.Á¤Ã¥ 󸮴 ±âº»ÀûÀ¸·Î ºñÈ°¼ºÈµÇ¾î ÀÖÁö¸¸ "-policy" Àμö¸¦ ¸í·ÉÁÙ À¯Æ¿¸®Æ¼¿¡ Àü´ÞÇϰųª "X509_VERIFY_PARAM_set1_policy()" ÇÔ¼ö¸¦ È£ÃâÇÏ¿© È°¼ºÈÇÒ ¼ö ÀÖ½À´Ï´Ù.(CVE-2023-0465)
* Âü°í »çÀÌÆ®: https://www.cve.org/CVERecord?id=CVE-2023-0465 https://www.openssl.org/news/secadv/20230328.txt https://www.openssl.org/policies/secpolicy.html https://www.cve.org/CVERecord?id=CVE-2023-0466 https://www.cve.org/CVERecord?id=CVE-2023-0464 https://www.openssl.org/news/secadv/20230322.txt
* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû: 3.0.9 ÀÌÀüÀÇ OpenSSL 3.0.x ¹öÀüµé Linux Any version Unix Any version Microsoft Windows Any version |
ÇØ°áÃ¥ |
OpenSSL À¥ »çÀÌÆ®ÀÎ http://www.openssl.org/ ¿¡¼ ±¸ÇÒ ¼ö ÀÖ´Â OpenSSLÀÇ °¡Àå ÃֽŠ¹öÀü(3.0.9 ¶Ç´Â ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù. |
°ü·Ã URL |
CVE-2023-0464,CVE-2023-0464,CVE-2023-0465,CVE-2023-0466 (CVE) |
°ü·Ã URL |
(SecurityFocus) |
°ü·Ã URL |
(ISS) |
|