OpenSSL 보안 취약점 CVE-2022-3602, CVE-2022-3786
CVE : CVE-2022-3602, CVE-2022-3786
심각도 : 높음 (High)
2022년 11월 1일 OpenSSL 에서 높음 등급의 취약점 및 패치버전이 발표 되었습니다. 애초에 하트 블리드 급의 매우 높은 등급의 심각도일 것이라는 뉴스 보도들이 미리 발표되어 많은 사람들이 긴장하고 있었지만 예상과는 다르게 높음 등급으로 심각도가 다운그레이드 되었습니다.
간략하게 3줄 요약을 하자면 아래와 같습니다.
1. openssl 3.x 의 모든 버전에서 원격 코드 실행을 유발하는 취약점 발견, 3.0.7 에서 픽스
2. 처음엔 하트블리드급의 위험 단계였지만 나중에 높음 단계로 다운 그레이드됨
3. openssl 3.x 사용중인 사람들은 빨리 3.0.7 버전으로 업그레이드 해야하며, 이 취약점과는 별개로 1.1.1 버전대에도 1.1.1s 버전이 공개 되었지만 관련 취약점 패치가 아닌 단순 버그픽스이다.
자세한 내용은 아래 링크를 참조해 주시기 바랍니다.
/news/vulnerabilities.html (openssl.org) – 취약점 발표
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows – OpenSSL Blog – 취약점 설명
보안공지 | 자료실 – KISA 인터넷 보호나라&KrCERT – KISA 공지
