English

◀◁ 뒤로 취약점ID 210251 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 원격 호스트에 설치된 OpenSSL은 1.0.2zf 이전 버전입니다. 따라서 1.0.2zf 권고에 설명된 취약점의 영향을 받습니다. - CVE-2022-1292 에서 식별된 c_rehash shell 명령 인젝션 외에도, c_rehash 스크립트가 커맨드 인젝션을 방지하기 위한 shell 메타 문자를 적절하게 삭제하지 않는 추가 취약점이 코드리뷰 중 확인되었다. (CVE-2022-1292)이 패치 될 때 까지 해당 문제점은 발견되지 않았기 때문에, 잠재된 취약점을 통하여 스크립트 권한으로 임의 명령실행 을 할 수 있게 된 것이다. 이 스크립트는 일부 운영 체제에서 자동으로 실행되는 방식으로 배포됩니다. 이러한 운영 체제에서 공격자는 스크립트의 권한으로 임의의 명령을 실행할 수 있습니다. c_rehash 스크립트는 사용되지 않는 것으로 간주되며 OpenSSL rehash 명령줄 도구로 바꿔야 합니다. OpenSSL 3.0.4에서 수정되었습니다(3.0.0, 3.0.1, 3.0.2 및 3.0.3이 영향을 받음). OpenSSL 1.1.1p에서 수정되었습니다(1.1.1-1.1.1o가 영향을 받음). OpenSSL 1.0.2zf에서 수정되었습니다(1.0.2-1.0.2ze가 영향을 받음). (CVE-2022-2068) * 참고 사이트: https://cve.org/CVERecord?id=CVE-2022-2068 https://github.com/openssl/openssl/commit/7a9c027159fe9e1bbc2cd38a8a2914bff0d5abd9 https://www.openssl.org/news/secadv/20220621.txt * 영향을 받는 플랫폼: 1.0.2zf 이전의 OpenSSL 1.0.2 버전들 Linux Any version Unix Any version Microsoft Windows Any version 해결책 OpenSSL 웹 사이트인 http://www.openssl.org/ 에서 구할 수 있는 OpenSSL의 가장 최신 버전(1.0.2zf 또는 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2022-2068 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)