English

◀◁ 뒤로 취약점ID 210296 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 원격 호스트에 설치된 OpenSSL 버전이 3.0.20 이전 버전입니다. 따라서 3.0.20 권고문에서 언급된 바와 같이 여러 취약점의 영향을 받습니다. - 문제 요약: 비밀 암호화 키를 설정하기 위해 RSASVE 키 캡슐화(key encapsulation)를 사용하는 애플리케이션은 초기화되지 않은 메모리 버퍼의 내용을 악의적인 피어(peer)에게 전송할 수 있습니다. 영향 요약: 초기화되지 않은 버퍼에는 애플리케이션 프로세스의 이전 실행에서 남은 민감한 데이터가 포함될 수 있으며, 이는 공격자에게 민감한 데이터 유출을 초래합니다. RSA_public_encrypt()는 성공 시 기록된 바이트 수를 반환하고 오류 시 -1을 반환합니다. 영향을 받는 코드는 반환 값이 0이 아닌지 여부만 테스트합니다. 결과적으로 RSA 암호화가 실패하더라도 캡슐화는 여전히 호출자에게 성공을 반환하고 출력 길이를 설정하며, 호출자가 유효한 KEM 암호문이 생성된 것처럼 암호문 버퍼의 내용을 사용하게 만들 수 있습니다. 애플리케이션이 공격자가 제공한 잘못된 RSA 공개 키를 먼저 검증하지 않고 RSA/RSASVE와 함께 EVP_PKEY_encapsulate()를 사용하는 경우, KEM 암호문 대신 호출자가 제공한 암호문 버퍼의 오래되거나 초기화되지 않은 내용이 공격자에게 노출될 수 있습니다. 임시 해결책으로 EVP_PKEY_encapsulate()를 호출하기 전에 EVP_PKEY_public_check() 또는 EVP_PKEY_public_check_quick()을 호출하면 이 문제를 완화할 수 있습니다. 3.6, 3.5, 3.4, 3.3, 3.1 및 3.0의 FIPS 모듈이 이 문제의 영향을 받습니다. OpenSSL 3.3.7 버전에서 수정되었습니다. (3.3.0 버전부터 영향을 받음). (CVE-2026-31790) - 문제 요약: KeyTransportRecipientInfo가 포함된 조작된 CMS EnvelopedData 메시지를 처리하는 동안 NULL 포인터 역참조가 발생할 수 있습니다. 영향 요약: 공격자가 제어하는 CMS 데이터를 처리하는 애플리케이션은 인증 또는 암호화 작업이 수행되기 전에 작동이 중단되어 서비스 거부(Denial of Service)를 초래할 수 있습니다. RSA-OAEP 암호화와 함께 KeyTransportRecipientInfo를 사용하는 CMS EnvelopedData 메시지가 처리될 때, RSA-OAEP SourceFunc 알고리즘 식별자의 선택적(optional) 매개변수 필드의 존재 여부를 확인하지 않고 검사합니다. 이 필드가 누락된 경우 NULL 포인터 역참조가 발생합니다. 신뢰할 수 없는 입력(예: S/MIME 처리 또는 CMS 기반 프로토콜)에 대해 CMS_decrypt()를 호출하는 애플리케이션 및 서비스가 취약합니다. 영향을 받는 코드가 OpenSSL FIPS 모듈 경계 외부에 있으므로 3.6, 3.5, 3.4, 3.3 및 3.0의 FIPS 모듈은 이 문제의 영향을 받지 않습니다. OpenSSL 3.3.7 버전에서 수정되었습니다. (3.3.0 버전부터 영향을 받음). (CVE-2026-28390) * 참고 사이트: https://openssl-library.org/news/secadv/20260407.txt https://www.cve.org/CVERecord?id=CVE-2026-28387 https://www.cve.org/CVERecord?id=CVE-2026-28388 https://www.cve.org/CVERecord?id=CVE-2026-28389 https://www.cve.org/CVERecord?id=CVE-2026-28390 https://www.cve.org/CVERecord?id=CVE-2026-31789 https://www.cve.org/CVERecord?id=CVE-2026-31790 * 영향을 받는 플랫폼: 3.0.20 이전의 OpenSSL 3.0.0 버전들 Linux Any version Unix Any version Microsoft Windows Any version 해결책 OpenSSL 웹 사이트인 http://www.openssl.org/ 에서 구할 수 있는 OpenSSL의 가장 최신 버전(3.0.20 또는 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2026-28387,CVE-2026-28388,CVE-2026-28389,CVE-2026-28390,CVE-2026-31789,CVE-2026-31790 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)