OpenSSL 프로젝트가 CVE-2021-3711로 추적되는 심각도 높은 버퍼 오버플로우 취약점을 해결하는 OpenSSL 1.1.1l 버전을 공개했다.

이 취약점은 SM2 암호화 데이터의 복호화와 관련이 있고, 변경 사항은 대상 응용 프로그램과 악용되는 동안 힙에 존재하는 데이터(예: 자격증명)에 따라 달라진다.

이들은 결함에 대해 “응용 프로그램에 복호화를 위해 SM2 콘텐츠를 제공할 수 있는 악의적 공격자는 공격자가 선택한 데이터가 버퍼를 최대 62바이트까지 오버플로우 하도록 하여, 버퍼 뒤에 있는 다른 데이터의 컨텐츠를 변경해 응용 프로그램 동작을 변경시키거나 크래시를 유발할 수 있다. 버퍼의 위치는 응용 프로그램에 따라 다르지만 일반적으로 입이 할당된다. OpenSSL 1.1.1l(1.1.1~1.1.1k에 영향 받음)에서 수정되었다.”고 설명한다.

이 취약점은 1.1.1 이전 버전에 영향을 미치고, John Ouyang이 발견했다.

OpenSSL 프로젝트는 또한 CVE-2021-3712로 추적되는 중간 심각도 취약점을 수정했다. 해당 결함은 공격자가 서비스 거부 상태를 유발하기 위해 악용될 수 있고, 개인 메모리 컨텐츠(개인키 또는 민감한 플레인텍스트 등)가 유출될 수 있다. 취약점은 버전 1.1.1~1.1.1k에 영향을 미치고, OpenSSL 1.1.1j과 1.0.2za에서 해결되었다.

★정보보안 대표 미디어 데일리시큐!★