English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 22962
À§Çèµµ 30
Æ÷Æ® 80, ...
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù WWW
»ó¼¼¼³¸í ¿ø°Ý È£½ºÆ®¿¡ ¼³Ä¡µÈ OpenSSL Àº 1.0.2x ÀÌÀü ¹öÀüÀ̸ç, ±Ç°í¿¡ ¾ð±Þ µÈ Ãë¾àÁ¡ÀÇ ¿µÇâÀ»¹Þ½À´Ï´Ù.

-X.509 GeneralName À¯ÇüÀº ¿©·¯ À¯ÇüÀÇ À̸§À» ³ªÅ¸³»´Â ÀÏ¹Ý À¯ÇüÀÔ´Ï´Ù. ÀÌ·¯ÇÑ À̸§ À¯Çü Áß Çϳª´Â EDIPartyNameÀ¸·Î ¾Ë·ÁÁ® ÀÖ½À´Ï´Ù. OpenSSLÀº GENERAL_NAMEÀÇ ¿©·¯ ÀνºÅϽº¸¦ ºñ±³ÇÏ¿© µ¿ÀÏÇÑ Áö ¿©ºÎ¸¦ È®ÀÎÇÏ´Â GENERAL_NAME_cmp ÇÔ¼ö¸¦ Á¦°øÇÕ´Ï´Ù. ÀÌ ÇÔ¼ö´Â µÎ GENERAL_NAME¿¡ EDIPARTYNAMEÀÌ Æ÷ÇÔ µÈ °æ¿ì À߸ø ÀÛµ¿ÇÕ´Ï´Ù. NULL Æ÷ÀÎÅÍ ¿ª ÂüÁ¶ ¹× Ãæµ¹ÀÌ ¹ß»ýÇÏ¿© ¼­ºñ½º °ÅºÎ °ø°ÝÀÌ ¹ß»ýÇÒ ¼ö ÀÖ½À´Ï´Ù. OpenSSL ÀÚü´Â µÎ °¡Áö ¸ñÀûÀ¸·Î GENERAL_NAME_cmp ÇÔ¼ö¸¦ »ç¿ëÇÕ´Ï´Ù.

1) »ç¿ë °¡´ÉÇÑ CRL°ú X509 ÀÎÁõ¼­¿¡ Æ÷ÇÔ µÈ CRL ¹èÆ÷ ÁöÁ¡ °£ÀÇ CRL ¹èÆ÷ ÁöÁ¡ À̸§ ºñ±³
2) ŸÀÓ ½ºÅÆÇÁ ÀÀ´ä ÅäÅ« ¼­¸íÀÚ°¡ ŸÀÓ ½ºÅÆÇÁ ±â°ü À̸§°ú ÀÏÄ¡ÇÏ´ÂÁö È®ÀÎÇÒ ¶§ ( API ÇÔ¼ö TS_RESP_verify_response ¹× TS_RESP_verify_token) °ø°ÝÀÚ°¡ ºñ±³ÁßÀÎ µÎ Ç׸ñÀ» ¸ðµÎ Á¦¾î ÇÒ ¼ö ÀÖÀ¸¸é °ø°ÝÀÚ°¡ Ãæµ¹À» À¯¹ßÇÒ ¼ö ÀÖ½À´Ï´Ù. ¿¹¸¦ µé¾î °ø°ÝÀÚ°¡ Ŭ¶óÀ̾ðÆ® ³ª ¼­¹ö¸¦ ¼Ó¿© ¾Ç¼º CRL¿¡ ´ëÇØ ¾Ç¼º ÀÎÁõ¼­¸¦ È®ÀÎÇϵµ·Ï ÇÒ ¼öÀÖ´Â °æ¿ì ÀÌ·¯ÇÑ »óȲÀÌ ¹ß»ýÇÒ ¼ö ÀÖ½À´Ï´Ù. ÀϺΠ¾ÖÇø®ÄÉÀ̼ÇÀº ÀÎÁõ¼­¿¡ Æ÷ÇÔ µÈ URLÀ» ±â¹ÝÀ¸·Î CRLÀ» ÀÚµ¿À¸·Î ´Ù¿î·ÎµåÇÕ´Ï´Ù. ÀÌ °Ë»ç´Â ÀÎÁõ¼­ÀÇ ¼­¸í°ú CRLÀÌ È®ÀεDZâ Àü¿¡ ¹ß»ýÇÕ´Ï´Ù.

OpenSSLÀÇ s_server, s_client ¹× verify µµ±¸´Â ÀÚµ¿ CRL ´Ù¿î·Îµå¸¦ ±¸ÇöÇÏ´Â -crl_download ¿É¼ÇÀ» Áö¿øÇϸçÀÌ °ø°ÝÀº ÀÌ·¯ÇÑ µµ±¸¿¡ ´ëÇØ ÀÛµ¿ÇÏ´Â °ÍÀ¸·Î ÀÔÁõµÇ¾ú½À´Ï´Ù. °ü·Ã¾ø´Â ¹ö±×´Â ¿µÇâÀ»¹Þ´Â OpenSSL ¹öÀüÀÌ EDIPARTYNAMEÀÇ ¿Ã¹Ù¸¥ ÀÎÄÚµùÀ» ±¸¹® ºÐ¼®Çϰųª ±¸¼º ÇÒ ¼ö ¾øÀ½À» ÀǹÌÇÕ´Ï´Ù. ±×·¯³ª OpenSSLÀÇ Æļ­°¡ ¼ö¶ôÇÏ¿© ÀÌ °ø°ÝÀ» Æ®¸®°ÅÇÏ´Â À߸øµÈ Çü½ÄÀÇ EDIPARTYNAMEÀ» ±¸¼º ÇÒ ¼ö ÀÖ½À´Ï´Ù. ¸ðµç OpenSSL 1.1.1 ¹× 1.0.2 ¹öÀüÀÌ ÀÌ ¹®Á¦ÀÇ ¿µÇâÀ»¹Þ½À´Ï´Ù.
´Ù¸¥ OpenSSL ¸±¸®½º´Â Áö¿øµÇÁö ¾ÊÀ¸¸ç È®ÀεÇÁö ¾Ê¾Ò½À´Ï´Ù. OpenSSL 1.1.1i¿¡¼­ ¼öÁ¤µÇ¾ú½À´Ï´Ù (¿µÇâÀ»¹Þ´Â 1.1.1-1.1.1h). OpenSSL 1.0.2x¿¡¼­ ¼öÁ¤µÇ¾ú½À´Ï´Ù (¿µÇâÀ»¹Þ´Â 1.0.2-1.0.2w). (CVE-2020-1971)
* Âü°í »çÀÌÆ®:
https://github.com/openssl/openssl/commit/f960d81215ebf3f65e03d4d5d857fb9b666d6920
https://www.openssl.org/news/secadv/20201208.txt

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
1.0.2x ÀÌÀüÀÇ OpenSSL 1.0.x
Linux Any version
Unix Any version
Microsoft Windows Any version
ÇØ°áÃ¥ OpenSSL À¥ »çÀÌÆ®ÀÎ http://www.openssl.org/ ¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Â OpenSSLÀÇ °¡Àå ÃֽŠ¹öÀü(1.0.2x ¶Ç´Â ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù.
°ü·Ã URL CVE-2020-1971 (CVE)
°ü·Ã URL (SecurityFocus)
°ü·Ã URL (ISS)