힙 오버플로우, Null 포인터 역참조 취약점 등 발견

[보안뉴스 권 준 기자] OpenSSL에서 발생한 힙 오버플로우 취약점, Null 포인터 역참조 취약점 등 총 3개의 취약점을 보완한 보안 업데이트가 발표됐다.


이번에 발견된 보안 취약점은 크게 3가지로 다음과 같다.
- OpenSSL의 ASN.1 CHOICE 데이터를 조작 가능한 Null 포인터 역참조 취약점(CVE-2016-7053)
- TLS 연결 시 사용하는 CHACHA20/Poly1305 암호화 방식에서 서비스 거부가 발생할 수 있는 힙 오버플로우 취약점(CVE-2016-7054)
- Montgomery Multiplication 알고리즘의 입력 값이 256bit보다 많을 시 잘못된 결과 값을 리턴할 수 있는 취약점(CVE-2016-7055)

해당 취약점에 영향을 받는 제품 및 버전은 OpenSSL 1.1.0b 이하 버전으로, 해당 버전 사용자는 1.1.0c 버전으로 업데이트 해야 한다.

이번에 발견된 Null 포인터 역참조 취약점은 Null 포인터에 어떠한 값을 대입하려고 할 때 발생하는 취약점이며, Montgomery Multiplication 알고리즘은 RSA 암호 시스템에서 요구되는 모듈러 곱셈 구현을 효율적으로 하기 위한 알고리즘이다.

이번 취약점에 대한 보다 구체적인 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)에 문의하거나 아래 사이트를 참고하면 된다.

[참고사이트]
[1] https://www.openssl.org/news/secadv/20161110.txt
[2] https://www.openssl.org/source/

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>