OpenSSL 취약점 보안 업데이트 권고(2023/02/20)
안녕하세요, 카페24 호스팅센터입니다.
OpenSSL에서 발생하는 다중 취약점에 대한 보안 업데이트 권고사항을 안내드립니다.
1. 취약점 상세 내용
취약점 정보
- 취약점 번호: CVE-2023-0286, CVE-2022-4304, CVE-2022-4203, CVE-2023-0215, CVE-2022-4450, CVE-2023-0216, CVE-2023-0217, CVE-2023-0401
- 취약점 유형: Type Confusion, Bleichenbacher 공격, 버퍼 오버플로우, use-after-free, double-free, 널 포인터 역참조
- 영향받는 제품: OpenSSL
- 심각도: 높음
취약점 설명
- CVE-2023-0286: OpenSSL에서 발생하는 Type Confusion 취약점
- CVE-2022-4304: OpenSSL의 RSA 복호화에서 Timing Oracle 인해 발생하는 Bleichenbacher 공격 취약점
- CVE-2022-4203: OpenSSL에서 버퍼 오버플로우로 인해 발생하는 서비스 거부 취약점
- CVE-2023-0215: OpenSSL에서 BIO_new_NDEF 함수 호출 시 발생하는 use-after-free 취약점
- CVE-2022-4450: OpenSSL에서 PEM_read_bio_ex 함수 호출 시 발생하는 double-free 취약점
- CVE-2023-0216: OpenSSL에서 d2i_PKCS7 함수 호출 시 발생하는 유효하지 않은 포인터 역참조 취약점
- CVE-2023-0217: OpenSSL에서 잘못된 형식의 DSA 공개키 유효성 검사 시 발생하는 널 포인터 역참조 취약점
- CVE-2023-0401: OpenSSL에서 PKCS7 서명 확인 시 발생하는 널 포인터 역참조 취약점
영향받는 소프트웨어
| 제품명 | 취약점(CVE-ID) | 영향받는 버전 | 해결 버전 |
|---|---|---|---|
| OpenSSL | CVE-2023-0286, CVE-2022-4304, CVE-2023-0215 | 3.0 | 3.0.8 |
| 1.1.1 | 1.1.1t | ||
| 1.0.2 | 1.0.2zg | ||
| CVE-2022-4203, CVE-2023-0216, CVE-2023-0217 | 3.0.0 ~ 3.0.7 | 3.0.8 | |
| CVE-2022-4450 | 3.0 | 3.0.8 | |
| 1.1.1 | 1.1.1t |
주의사항
- 버전 1.0.2zg 업그레이드 시: 프리미엄 지원 고객만 해당
2. 보안 조치 권고사항
해결 방안
- OpenSSL 3.0 버전 사용자: 3.0.8 버전으로 업데이트
- OpenSSL 1.1.1 버전 사용자: 1.1.1t 버전으로 업데이트
- OpenSSL 1.0.2 버전 사용자: 1.0.2zg 버전으로 업데이트 (프리미엄 지원 고객만)
즉시 조치사항
- 영향받는 OpenSSL 버전을 사용 중인 경우, 즉시 권장 버전으로 업그레이드하시기 바랍니다.
- 공격자가 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 지연 없이 보안 업데이트를 적용하시기 바랍니다.
3. 참고사항
문의처
- 한국인터넷진흥원 사이버민원센터: 국번없이 118
- 고객지원 문의하기
참고사이트
더 나은 서비스를 제공하기 위해 항상 노력하겠습니다.
감사합니다.