English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 210298
À§Çèµµ 40
Æ÷Æ® 80, ...
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù WWW
»ó¼¼¼³¸í ¿ø°Ý È£½ºÆ®¿¡ ¼³Ä¡µÈ OpenSSL ¹öÀüÀÌ 3.4.5 ÀÌÀü ¹öÀüÀÔ´Ï´Ù. µû¶ó¼­ 3.4.5 ±Ç°í¹®¿¡¼­ ¾ð±ÞµÈ ¹Ù¿Í °°ÀÌ ¿©·¯ Ãë¾àÁ¡ÀÇ ¿µÇâÀ» ¹Þ½À´Ï´Ù.

- ¹®Á¦ ¿ä¾à: Áö³ªÄ¡°Ô Å« OCTET STRING °ªÀ» 16Áø¼ö ¹®ÀÚ¿­·Î º¯È¯ÇÒ ¶§ 32ºñÆ® Ç÷§Æû¿¡¼­ Èü ¹öÆÛ ¿À¹öÇ÷Î(heap buffer overflow)°¡ ¹ß»ýÇÕ´Ï´Ù.
¿µÇâ ¿ä¾à: Èü ¹öÆÛ ¿À¹öÇ÷δ ÀÛµ¿ Áß´Ü(crash)À» À¯¹ßÇϰųª °ø°ÝÀÚ°¡ Á¦¾îÇÏ´Â ÄÚµå ½ÇÇà ¶Ç´Â ±âŸ Á¤ÀǵÇÁö ¾ÊÀº µ¿ÀÛÀ» À¯¹ßÇÒ ¼ö ÀÖ½À´Ï´Ù. °ø°ÝÀÚ°¡ 16Áø¼ö·Î º¯È¯µÇ´Â ÁÖü Å° ½Äº°ÀÚ(SKID) ¶Ç´Â ±â°ü Å° ½Äº°ÀÚ(AKID)¿Í °°Àº È®Àå ¿µ¿ª¿¡ Áö³ªÄ¡°Ô Å« OCTET STRING °ªÀ» Æ÷ÇÔÇÏ´Â Á¶ÀÛµÈ X.509 ÀÎÁõ¼­¸¦ Á¦°øÇÒ ¼ö ÀÖ´Â °æ¿ì, °á°ú¿¡ ÇÊ¿äÇÑ ¹öÆÛ Å©±â´Â ÀÔ·Â ±æÀÌ¿¡ 3À» °öÇÏ¿© °è»êµË´Ï´Ù. 32ºñÆ® Ç÷§Æû¿¡¼­´Â ÀÌ °ö¼ÀÀ¸·Î ÀÎÇØ ¿À¹öÇ÷ΰ¡ ¹ß»ýÇÏ¿© ´õ ÀÛÀº ¹öÆÛ°¡ ÇÒ´çµÇ°í Èü ¹öÆÛ ¿À¹öÇ÷ΰ¡ ¹ß»ýÇÒ ¼ö ÀÖ½À´Ï´Ù. ½Å·ÚÇÒ ¼ö ¾ø´Â X.509 ÀÎÁõ¼­ÀÇ ³»¿ëÀ» ÀμâÇϰųª ·Î±ëÇÏ´Â ¾ÖÇø®ÄÉÀÌ¼Ç ¹× ¼­ºñ½º°¡ ÀÌ ¹®Á¦¿¡ Ãë¾àÇÕ´Ï´Ù. ÀÎÁõ¼­ Å©±â°¡ 1±â°¡¹ÙÀÌÆ® ÀÌ»óÀ̾î¾ß ÇϹǷΠÇØ´ç ÀÎÁõ¼­¸¦ ÀμâÇϰųª ·Î±ëÇÏ´Â ÀÛ¾÷Àº ¹ß»ýÇÒ °¡´É¼ºÀÌ ¸Å¿ì ³·À¸¸ç 32ºñÆ® Ç÷§Æû¿¡¸¸ ¿µÇâÀ» ¹ÌÄ¡¹Ç·Î ÀÌ ¹®Á¦´Â ½É°¢µµ ³·À½(Low)À¸·Î Æò°¡µÇ¾ú½À´Ï´Ù. ¿µÇâÀ» ¹Þ´Â Äڵ尡 OpenSSL FIPS ¸ðµâ °æ°è ¿ÜºÎ¿¡ ÀÖÀ¸¹Ç·Î 3.6, 3.5, 3.4, 3.3 ¹× 3.0ÀÇ FIPS ¸ðµâÀº ÀÌ ¹®Á¦ÀÇ ¿µÇâÀ» ¹ÞÁö ¾Ê½À´Ï´Ù. OpenSSL 3.0.20 ¹öÀü¿¡¼­ ¼öÁ¤µÇ¾ú½À´Ï´Ù. (3.0.0 ¹öÀüºÎÅÍ ¿µÇâÀ» ¹ÞÀ½). (CVE-2026-31789)

- ¹®Á¦ ¿ä¾à: Delta CRL Áö½ÃÀÚ(Indicator) È®ÀåÀ» Æ÷ÇÔÇÏ´Â µ¨Å¸ CRLÀÌ Ã³¸®µÉ ¶§, ÇʼöÀûÀÎ CRL ¹øÈ£(Number) È®ÀåÀÌ ´©¶ôµÈ °æ¿ì NULL Æ÷ÀÎÅÍ ¿ªÂüÁ¶°¡ ¹ß»ýÇÒ ¼ö ÀÖ½À´Ï´Ù.
¿µÇâ ¿ä¾à: NULL Æ÷ÀÎÅÍ ¿ªÂüÁ¶´Â ÀÛµ¿ Áß´ÜÀ» À¯¹ßÇÏ¿© ¾ÖÇø®ÄÉÀ̼ÇÀÇ ¼­ºñ½º °ÅºÎ(Denial of Service)·Î À̾îÁú ¼ö ÀÖ½À´Ï´Ù. X.509 ÀÎÁõ¼­ °ËÁõ Áß¿¡ CRL ó¸® ¹× µ¨Å¸ CRL 󸮰¡ È°¼ºÈ­µÈ °æ¿ì, µ¨Å¸ CRL 󸮴 CRL ¹øÈ£ È®ÀåÀ» ¿ªÂüÁ¶Çϱâ Àü¿¡ ÇØ´ç °ªÀÌ NULLÀÎÁö È®ÀÎÇÏÁö ¾Ê½À´Ï´Ù. À߸øµÈ Çü½ÄÀÇ µ¨Å¸ CRL ÆÄÀÏÀÌ Ã³¸®µÉ ¶§ ÀÌ ¸Å°³º¯¼ö°¡ NULLÀÏ ¼ö ÀÖÀ¸¸ç, ÀÌ·Î ÀÎÇØ NULL Æ÷ÀÎÅÍ ¿ªÂüÁ¶°¡ ¹ß»ýÇÕ´Ï´Ù. ÀÌ ¹®Á¦¸¦ ¾Ç¿ëÇÏ·Á¸é °ËÁõ ÄÁÅؽºÆ®¿¡¼­ X509_V_FLAG_USE_DELTAS Ç÷¡±×°¡ È°¼ºÈ­µÇ¾î¾ß ÇÏ°í, °ËÁõ ´ë»ó ÀÎÁõ¼­¿¡ freshestCRL È®ÀåÀÌ Æ÷ÇԵǾî Àְųª ±âº» CRL¿¡ EXFLAG_FRESHEST Ç÷¡±×°¡ ¼³Á¤µÇ¾î ÀÖ¾î¾ß Çϸç, °ø°ÝÀÚ°¡ À̸¦ ó¸®ÇÏ´Â ¾ÖÇø®ÄÉÀ̼ǿ¡ À߸øµÈ Çü½ÄÀÇ CRLÀ» Á¦°øÇØ¾ß ÇÕ´Ï´Ù. ÀÌ Ãë¾àÁ¡Àº ¼­ºñ½º °ÅºÎ(Denial of Service)·Î Á¦ÇѵǸç ÄÚµå ½ÇÇàÀ̳ª ¸Þ¸ð¸® À¯ÃâÀ» ´Þ¼ºÇϱâ À§ÇØ ±ÇÇÑÀ» »ó½Â½Ãų ¼ö ¾ø½À´Ï´Ù. ÀÌ·¯ÇÑ ÀÌÀ¯·Î ´ç»çÀÇ º¸¾È Á¤Ã¥¿¡ µû¶ó ÀÌ ¹®Á¦´Â ½É°¢µµ ³·À½(Low)À¸·Î Æò°¡µÇ¾ú½À´Ï´Ù. ¿µÇâÀ» ¹Þ´Â Äڵ尡 OpenSSL FIPS ¸ðµâ °æ°è ¿ÜºÎ¿¡ ÀÖÀ¸¹Ç·Î 3.6, 3.5, 3.4, 3.3 ¹× 3.0ÀÇ FIPS ¸ðµâÀº ÀÌ ¹®Á¦ÀÇ ¿µÇâÀ» ¹ÞÁö ¾Ê½À´Ï´Ù. OpenSSL 1.1.1zg ¹öÀü¿¡¼­ ¼öÁ¤µÇ¾ú½À´Ï´Ù. (1.1.1 ¹öÀüºÎÅÍ ¿µÇâÀ» ¹ÞÀ½). (CVE-2026-28388)

* Âü°í »çÀÌÆ®:
https://openssl-library.org/news/secadv/20260407.txt
https://www.cve.org/CVERecord?id=CVE-2026-28387
https://www.cve.org/CVERecord?id=CVE-2026-28388
https://www.cve.org/CVERecord?id=CVE-2026-28389
https://www.cve.org/CVERecord?id=CVE-2026-28390
https://www.cve.org/CVERecord?id=CVE-2026-31789
https://www.cve.org/CVERecord?id=CVE-2026-31790

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
3.4.5 ÀÌÀüÀÇ OpenSSL 3.4.x ¹öÀüµé
Linux Any version
Unix Any version
Microsoft Windows Any version
ÇØ°áÃ¥ OpenSSL À¥ »çÀÌÆ®ÀÎ http://www.openssl.org/ ¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Â OpenSSLÀÇ °¡Àå ÃֽŠ¹öÀü(3.4.5 ¶Ç´Â ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù.
°ü·Ã URL CVE-2026-28387,CVE-2026-28388,CVE-2026-28389,CVE-2026-28390,CVE-2026-31789,CVE-2026-31790 (CVE)
°ü·Ã URL (SecurityFocus)
°ü·Ã URL (ISS)