인증서 진본성 확인하는 함수에서 발견된 고위험군 취약점, 긴급히 패치돼

요약 : 보안 외신 시큐리티위크에 의하면 오픈SSL(OpenSSL)이 인증서 확인 절차와 관련된 취약점인 CVE-2022-0778을 패치했다고 한다. 디도스 공격을 허용하는 취약점이었다. 오픈SSL 1.0.2, 1.1.1, 3.0 버전에 영향을 주며, 패치된 버전은 1.0.2zd, 1.1.1n, 3.0.2라고 한다. 1.1.0 버전에도 취약점의 영향이 있으나, 이 버전은 더 이상 지원이 되지 않기 때문에 패치가 되지 않았다.


배경 : 취약점의 근원은 BN_mod_sqrt()라는 함수다. 특정 모듈에 대하여 영원히 루핑을 하게 되는 버그를 포함하고 있었고, 이를 보안 전문가인 타비스 오르만디(Tavis Ormandy)가 발견한 것으로 알려져 있다.

말말말 : “문제가 됐던 함수는 특정 인증서들을 확인하는 데 필요했던 요소입니다. 인증서를 고의적으로 조작함으로써 끊기지 않는 루핑을 활성화할 수 있습니다.” -오픈SSL-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>