세계적인 보안 위기가 우려됐던 오픈SSL(OpenSSL)의 취약점을 수정한 오픈SSL3.0.7이 공개됐다. 오픈SSL 3.0.0 이상을 사용 중인 기업은 해당 버전으로 업데이트가 권고된다.
오픈SSL 프로젝트팀은 이번 업데이트와 함께 논란이 된 취약점은 CVE-2022-3786과 CVE-2022-3602 등 2건이라고 공식 홈페이지를 통해 밝혔다.
두 취약점은 X.509 인증서를 확인하는 과정에서 특정한 이메일 주소로 인해 발생할 수 있는 버퍼오버런이다. 이 취약점을 악용할 경우 원격지에서 악성코드 등을 실행하거나 서비스 거부를 유발할 수 있다.
관련기사
- 은밀하게 정보 가져가는 새로운 사이버공격 기법 발견2022.11.01
- 전 세계 보안 위기, 오픈SSL 치명적 취약점 발견2022.10.31
- 바로고, 디도스 공격 하루 만에 서버 정상화2022.10.21
- 삼성·MS 등 공격한 해커그룹 용의자 브라질서 체포2022.10.21
오픈SSL 프로젝트팀은 해당 취약점의 위험등급을 치명적(Critical)에서 높음(High)으로 한 단계 하향 조정했으나 여전히 위험요소가 크다고 전했다.
오픈SSL의 빅토르 두코브니는 “취약점이 발견된 후 관련 내용에 대해 지속해서 조사해왔다”며 “조사 결과 현재까지 악용된 증거는 발견하지 못했다”고 밝혔다.
