OpenSSL ์ํธํ ๋ผ์ด๋ธ๋ฌ๋ฆฌ 1.1.1j์ ์ ์ง ๊ด๋ฆฌ ๋ฆด๋ฆฌ์ค๊ฐ ์ถ์๋์ด ๋ ๊ฐ์ง ์ทจ์ฝ์ ์ด ์์ ๋์์ต๋๋ค.
- CVE-2021-23841์ X509_issuer_and_serial_hash() ํจ์์ NULL ํฌ์ธํฐ ์ญ์ฐธ์กฐ๋ก, ๋ฐ๊ธ์ ํ๋์ ์๋ชป๋ ๊ฐ์ด ์๋ X509 ์ธ์ฆ์๋ฅผ ์ฒ๋ฆฌํ๊ธฐ ์ํด ์ด ํจ์๋ฅผ ํธ์ถํ๋ ์ ํ๋ฆฌ์ผ์ด์ ์ด ์ถฉ๋ํ ์ ์์ต๋๋ค.
- CVE-2021-23840์ EVP_CipherUpdate, EVP_EncryptUpdate ๋ฐ EVP_DecryptUpdate ํจ์์ ์ ์ ์ค๋ฒํ๋ก๋ก, ๊ฐ 1์ ๋ฐํํ์ฌ ์ฑ๊ณต์ ์ธ ์์ ์ ๋ํ๋ด๊ณ ํฌ๊ธฐ๋ฅผ ์์ ๊ฐ์ผ๋ก ์ค์ ํ์ฌ ์ ํ๋ฆฌ์ผ์ด์ ์ด ์ถฉ๋ํ๊ฑฐ๋ ์ค๋จ๋ ์ ์์ต๋๋ค. ์ ์์ ์ธ ํ๋.
- CVE-2021-23839๋ SSLv2 ํ๋กํ ์ฝ ์ฌ์ฉ์ ์ํ ๋กค๋ฐฑ ๋ณดํธ ๊ตฌํ์ ๊ฒฐํจ์ ๋๋ค. ์ด์ ๋ธ๋์น 1.0.2์์๋ง ๋ํ๋ฉ๋๋ค.
LibreSSL 3.2.4 ํจํค์ง์ ๋ฆด๋ฆฌ์ค๋ ๋ฐํ๋์์ผ๋ฉฐ, OpenBSD ํ๋ก์ ํธ๋ ๋ ๋์ ์์ค์ ๋ณด์ ์ ๊ณต์ ๋ชฉํ๋ก ํ๋ OpenSSL ํฌํฌ๋ฅผ ๊ฐ๋ฐํ๊ณ ์์ต๋๋ค. ์ด ๋ฆด๋ฆฌ์ค๋ ์ด์ ์ฝ๋์ ๋ฒ๊ทธ๋ฅผ ํด๊ฒฐํ๊ธฐ ์ํ ๋ฐ์ธ๋ฉ์ด ์๋ ์ผ๋ถ ์ ํ๋ฆฌ์ผ์ด์ ์ ์ค๋จ์ผ๋ก ์ธํด LibreSSL 3.1.x์์ ์ฌ์ฉ๋ ์ด์ ์ธ์ฆ์ ํ์ธ ์ฝ๋๋ก ๋๋๋ฆฐ ๊ฒ์ผ๋ก ์ฃผ๋ชฉํ ๋งํฉ๋๋ค. ํ์ ์ค์์ TLSv1.3์ ๋ด๋ณด๋ด๊ธฐ ๋ฐ ์๋ ์ฒด์ธ ๊ตฌ์ฑ ์์ ๊ตฌํ์ ์ถ๊ฐํ ๊ฒ์ด ๋์ ๋๋๋ค.
๋ํ ์ฌ๋ฌผ ์ธํฐ๋ท ์ฅ์น, ์ค๋งํธ ํ ์์คํ , ์๋์ฐจ ์ ๋ณด ์์คํ , ๋ผ์ฐํฐ ๋ฐ ํด๋ํฐ๊ณผ ๊ฐ์ด ํ๋ก์ธ์ ๋ฐ ๋ฉ๋ชจ๋ฆฌ ๋ฆฌ์์ค๊ฐ ์ ํ์ ์ธ ์๋ฒ ๋๋ ์ฅ์น์ ์ฌ์ฉํ๋๋ก ์ต์ ํ๋ ์ํ ์ํธํ ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ธ WolfSSL 4.7.0์ด ์๋ก ์ถ์๋์์ต๋๋ค. . ์ฝ๋๋ C ์ธ์ด๋ก ์์ฑ๋์์ผ๋ฉฐ GPLv2 ๋ผ์ด์ผ์ค์ ๋ฐ๋ผ ๋ฐฐํฌ๋ฉ๋๋ค.
์ ๋ฒ์ ์๋ RFC 5705(TLS์ฉ ํค ์๋ฃ ๋ด๋ณด๋ด๊ธฐ) ๋ฐ S/MIME(๋ณด์/๋ค์ฉ๋ ์ธํฐ๋ท ๋ฉ์ผ ํ์ฅ)์ ๋ํ ์ง์์ด ํฌํจ๋์ด ์์ต๋๋ค. ์ฌํ ๊ฐ๋ฅํ ๋น๋๋ฅผ ๋ณด์ฅํ๊ธฐ ์ํด "--enable-reproducible-build" ํ๋๊ทธ๋ฅผ ์ถ๊ฐํ์ต๋๋ค. OpenSSL๊ณผ์ ํธํ์ฑ์ ๋ณด์ฅํ๊ธฐ ์ํด SSL_get_verify_mode API, X509_VERIFY_PARAM API ๋ฐ X509_STORE_CTX๊ฐ ๋ ์ด์ด์ ์ถ๊ฐ๋์์ต๋๋ค. ๋งคํฌ๋ก WOLFSSL_PSK_IDENTITY_ALERT๋ฅผ ๊ตฌํํ์ต๋๋ค. TLS 12 ์ธ์
ํฐ์ผ์ ๋นํ์ฑํํ๊ณ TLS 1.2์ฉ์ผ๋ก ์ ์งํ๋ ์๋ก์ด ๊ธฐ๋ฅ _CTX_NoTicketTLSv1.3๋ฅผ ์ถ๊ฐํ์ต๋๋ค.
์ถ์ฒ : opennet.ru