๋์ ์ฌ๊ฐ๋ ์์ค์ด ํ ๋น๋ ๋ ๊ฐ์ง ์ทจ์ฝ์ ์ ์์ ํ๋ OpenSSL ์ํธํ ๋ผ์ด๋ธ๋ฌ๋ฆฌ 1.1.1k์ ์ ์ง ๊ด๋ฆฌ ๋ฆด๋ฆฌ์ค๊ฐ ์ถ์๋์์ต๋๋ค.
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT ํ๋๊ทธ๊ฐ ํ์ฑํ๋๋ฉด ์ธ์ฆ ๊ธฐ๊ด ์ธ์ฆ์ ํ์ธ์ ์ฐํํ ์ ์์ต๋๋ค. ์ด ํ๋๊ทธ๋ ๊ธฐ๋ณธ์ ์ผ๋ก ๋นํ์ฑํ๋์ด ์์ผ๋ฉฐ ์ฒด์ธ์ ์ธ์ฆ์๊ฐ ์๋์ง ์ถ๊ฐ๋ก ํ์ธํ๋ ๋ฐ ์ฌ์ฉ๋ฉ๋๋ค. ์ด ๋ฌธ์ ๋ ํ์ ๊ณก์ ๋งค๊ฐ๋ณ์๋ฅผ ๋ช
์์ ์ผ๋ก ์ธ์ฝ๋ฉํ๋ ์ฒด์ธ์์ ์ธ์ฆ์ ์ฌ์ฉ์ ๊ธ์งํ๋ OpenSSL 1.1.1h์ ์๋ก์ด ๊ฒ์ฌ ๊ตฌํ์์ ๋ฐ์ํ์ต๋๋ค.
์ฝ๋ ์ค๋ฅ๋ก ์ธํด ์๋ก์ด ๊ฒ์ฌ๊ฐ ์ด์ ์ ์ํํ ์ธ์ฆ ๊ธฐ๊ด ์ธ์ฆ์์ ์ ํ์ฑ ๊ฒ์ฌ ๊ฒฐ๊ณผ๋ฅผ ์ฌ์ ์ํ์ต๋๋ค. ๊ทธ ๊ฒฐ๊ณผ, ์ ๋ขฐ ์ฒด์ธ์ผ๋ก ์ธ์ฆ ๊ธฐ๊ด์ ์ฐ๊ฒฐ๋์ง ์์ ์์ฒด ์๋ช ๋ ์ธ์ฆ์๋ก ์ธ์ฆ๋ ์ธ์ฆ์๋ ์์ ํ ์ ๋ขฐํ ์ ์๋ ๊ฒ์ผ๋ก ๊ฐ์ฃผ๋์์ต๋๋ค. libssl(TLS์ ์ฌ์ฉ๋จ)์ ํด๋ผ์ด์ธํธ ๋ฐ ์๋ฒ ์ธ์ฆ์ ํ์ธ ์ ์ฐจ์์ ๊ธฐ๋ณธ์ ์ผ๋ก ์ค์ ๋๋ "๋ชฉ์ " ๋งค๊ฐ๋ณ์๊ฐ ์ค์ ๋ ๊ฒฝ์ฐ์๋ ์ทจ์ฝ์ ์ด ๋ํ๋์ง ์์ต๋๋ค.
- CVE-2021-3449 โ ํน๋ณํ ์ ์๋ ClientHello ๋ฉ์์ง๋ฅผ ๋ณด๋ด๋ ํด๋ผ์ด์ธํธ๋ฅผ ํตํด TLS ์๋ฒ ์ถฉ๋์ด ๋ฐ์ํ ์ ์์ต๋๋ค. ์ด ๋ฌธ์ ๋ ์๋ช _์๊ณ ๋ฆฌ์ฆ ํ์ฅ ๊ตฌํ์ NULL ํฌ์ธํฐ ์ญ์ฐธ์กฐ์ ๊ด๋ จ์ด ์์ต๋๋ค. ์ด ๋ฌธ์ ๋ TLSv1.2๋ฅผ ์ง์ํ๊ณ ์ฐ๊ฒฐ ์ฌํ์์ ํ์ฑํํ๋(๊ธฐ๋ณธ์ ์ผ๋ก ํ์ฑํ๋จ) ์๋ฒ์์๋ง ๋ฐ์ํฉ๋๋ค.
์ถ์ฒ : opennet.ru