OpenSSL 취약점 보안 업데이트 권고(2022/05/24)

안녕하세요, 카페24 호스팅센터입니다.

OpenSSL에서 발생하는 다중 취약점에 대한 보안 업데이트 권고사항을 안내드립니다.

---

1. 취약점 상세 내용

취약점 정보

• 취약점 번호: CVE-2022-1292, CVE-2022-1343, CVE-2022-1434, CVE-2022-1473
• 취약점 유형: 명령 주입, 인증 오류, 비밀번호 오류, 서비스 거부
• 영향받는 제품: OpenSSL
• 심각도: 높음

취약점 설명

1. CVE-2022-1292: OpenSSL 내 c_rehash 스크립트에서 쉘 메타 문자를 적절하게 삭제하지 않아 발생하는 명령 주입 취약점
2. CVE-2022-1343: OpenSSL 내 OCSP_basic_verify 함수가 응답 서명 인증서를 잘못 확인하여 발생하는 인증 오류 취약점
3. CVE-2022-1434: RC4-MD5 암호 제품군을 통해 구현된 OpenSSL에서 AAD 데이터를 MAC키로 잘못 사용하여 발생하는 비밀번호 오류 취약점
4. CVE-2022-1473: OpenSSL에서 인증서 또는 키를 디코딩할 때 사용하는 OPENSSL_LH_flush() 함수의 메모리 재사용을 중단하는 버그로 인해 발생하는 서비스 거부 취약점

영향받는 소프트웨어

• OpenSSL 1.0.2 및 이전 버전
• OpenSSL 1.1.1 및 이전 버전
• OpenSSL 3.0 및 이전 버전

---

2. 보안 조치 권고사항

해결 방안

• OpenSSL 1.0.2 버전 사용자: 1.0.2ze 버전으로 업데이트
• OpenSSL 1.1.1 버전 사용자: 1.1.1o 버전으로 업데이트
• OpenSSL 3.0 버전 사용자: 3.0.3 버전으로 업데이트

주의사항

• OpenSSL 1.0.2 버전(Premium Level Support 사용자 제외) 및 1.1.0 버전: 더 이상 업데이트가 지원되지 않으니 OpenSSL 1.1.1o 또는 3.0.3 버전으로 변경할 것을 권고합니다.

즉시 조치사항

• 영향받는 OpenSSL 버전을 사용 중인 경우, 즉시 권장 버전으로 업그레이드하시기 바랍니다.
• 공격자가 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 지연 없이 보안 업데이트를 적용하시기 바랍니다.

---

3. 참고사항

문의처

• 한국인터넷진흥원 사이버민원센터: 국번없이 118
• 고객지원 문의하기

참고사이트

• OpenSSL 보안 권고 20220503
• OpenSSL 소스 다운로드

---

더 나은 서비스를 제공하기 위해 항상 노력하겠습니다.

감사합니다.