오픈SSL, 치명적 보안 취약점 해결

특정 이메일 주소 X.509 인증 과정에서 버퍼 오버런 발생

컴퓨팅입력 :2022/11/06 08:47    수정: 2022/11/06 10:07

세계적인 보안 위기가 우려됐던 오픈SSL(OpenSSL)의 취약점을 수정한 오픈SSL3.0.7이 공개됐다. 오픈SSL 3.0.0 이상을 사용 중인 기업은 해당 버전으로 업데이트가 권고된다.

오픈SSL 프로젝트팀은 이번 업데이트와 함께 논란이 된 취약점은 CVE-2022-3786과 CVE-2022-3602 등 2건이라고 공식 홈페이지를 통해 밝혔다.

두 취약점은 X.509 인증서를 확인하는 과정에서 특정한 이메일 주소로 인해 발생할 수 있는 버퍼오버런이다. 이 취약점을 악용할 경우 원격지에서 악성코드 등을 실행하거나 서비스 거부를 유발할 수 있다.

관련기사

(이미지=pixabay)

오픈SSL 프로젝트팀은 해당 취약점의 위험등급을 치명적(Critical)에서 높음(High)으로 한 단계 하향 조정했으나 여전히 위험요소가 크다고 전했다.

오픈SSL의 빅토르 두코브니는 “취약점이 발견된 후 관련 내용에 대해 지속해서 조사해왔다”며 “조사 결과 현재까지 악용된 증거는 발견하지 못했다”고 밝혔다.