OpenSSL 원격 메모리 손상 버그 주의!

 

6월 21일, OpenSSL 3.0.4가 공개되었습니다. 해당 버전은 추가로 발견된 OpenSSL 커맨드 인젝션 취약점(CVE-2022-2068)을 수정한 버전입니다. 

 

OpenSSL이 5월 패치한 취약점들 중 OpenSSL원격코드실행 취약점(CVE-2022-1292)에서 식별된 c_rehash shell 명령 인젝션 외에도, c_rehash 스크립트가 커맨드 인젝션을 방지하기 위하여 shell 메차 문자를 적절하게 삭제하지 않는 추가 취약점이 코드리뷰중 확인되었습니다. CVE-2022-1292가 패치 되었을 때, 해당 문제점은 발견되지 않았기 때문에, 공격자들은 해당 취약점을 통하여 스크립트 권한으로 임의 명령실행(CVE-2022-2068)을 할 수 있습니다. 이에 해당 문제를 해결하기 위하여 CVE-2022-2068 취약점이 패치된 OpenSSL 3.0.4를 공개한 것입니다.

하지만 27일, 이번에 공개된 OpenSSL 3.0.4버전에서도 원격 메모리 손상 취약점이 발견되었습니다. 

해당 버그를 처음 공개한 Vranken은, 해당 버그는 BoringSSL, LibreSSL 및 OpenSSL 1.1.1 branch는 영향을 받지 않으며, AVX512를 지원하는 x64 시스템만 영향을 받는다고 밝혔습니다. 또한 기술적인 측면에서 보았을 때, Heartbleed보다 더 심각할 수도 있다고 밝혔습니다. 

하지만 OpenSSL Foundation의 소프트웨어 개발자인 Tomáš Mráz는 이는 보안 취약점은 아니며, AVX-512 시스템에서 3.0.4 버전을 사용할 수 없게 만드는 버그라고 주장하고 있습니다.

해당 버그에 대해 현재 수정은 되었지만, 아직 패치는 나오지 않은 상황입니다. 

 

​

 

참고 :
https://guidovranken.com/2022/06/27/notes-on-openssl-remote-memory-corruption/
https://github.com/openssl/openssl/issues/18625
https://www.openssl.org/news/secadv/20220621.txt
https://www.openssl.org/news/vulnerabilities-3.0.html
https://github.com/openssl/openssl/pull/18626/commits/71ad6a8da3e39bd4caf5c6c767287ddd9bce8bae