๋ ๊ฐ์ง ์ทจ์ฝ์ ์ ์ ๊ฑฐํ OpenSSL ์ํธํ ๋ผ์ด๋ธ๋ฌ๋ฆฌ 1.1.1l์ ์์ ๋ฆด๋ฆฌ์ค๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค.
- CVE-2021-3711์ SM2 ์ํธํ ์๊ณ ๋ฆฌ์ฆ(์ค๊ตญ์์ ์ผ๋ฐ์ )์ ๊ตฌํํ๋ ์ฝ๋์ ๋ฒํผ ์ค๋ฒํ๋ก๋ก, ๋ฒํผ ํฌ๊ธฐ ๊ณ์ฐ ์ค๋ฅ๋ก ์ธํด ๋ฒํผ ๊ฒฝ๊ณ๋ฅผ ๋ฒ์ด๋ ์์ญ์ ์ต๋ 62๋ฐ์ดํธ๋ฅผ ๋ฎ์ด์ธ ์ ์์ต๋๋ค. ๊ณต๊ฒฉ์๋ SM2 ๋ฐ์ดํฐ๋ฅผ ํด๋ ํ๊ธฐ ์ํด EVP_PKEY_decrypt() ํจ์๋ฅผ ์ฌ์ฉํ๋ ์์ฉ ํ๋ก๊ทธ๋จ์ ํน๋ณํ ์ ์๋ ๋์ฝ๋ฉ ๋ฐ์ดํฐ๋ฅผ ์ ๋ฌํจ์ผ๋ก์จ ์ ์ฌ์ ์ผ๋ก ์ฝ๋ ์คํ ๋๋ ์์ฉ ํ๋ก๊ทธ๋จ ์ถฉ๋์ ์ผ์ผํฌ ์ ์์ต๋๋ค.
- CVE-2021-3712๋ ASN.1 ๋ฌธ์์ด ์ฒ๋ฆฌ ์ฝ๋์ ๋ฒํผ ์ค๋ฒํ๋ก๋ก, ๊ณต๊ฒฉ์๊ฐ ์ด๋ป๊ฒ๋ ์์ฑํ ์ ์๋ ๊ฒฝ์ฐ ์ ํ๋ฆฌ์ผ์ด์ ์ถฉ๋์ ์ผ์ผํค๊ฑฐ๋ ํ๋ก์ธ์ค ๋ฉ๋ชจ๋ฆฌ์ ๋ด์ฉ์ ๊ณต๊ฐํ ์ ์์ต๋๋ค(์: ๋ฉ๋ชจ๋ฆฌ์ ์ ์ฅ๋ ํค ์๋ณ). ๋ด๋ถ ASN1_STRING ๊ตฌ์กฐ์ ๋ฌธ์์ด null ๋ฌธ์๋ก ๋๋์ง ์์ผ๋ฉฐ X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() ๋ฐ X509_get1_ocsp()์ ๊ฐ์ ์ธ์ฆ์๋ฅผ ์ธ์ํ๋ OpenSSL ํจ์์์ ์ฒ๋ฆฌํฉ๋๋ค.
๋์์, ์ทจ์ฝ์ ์ ๋ช
์์ ์ผ๋ก ์ธ๊ธํ์ง ์์ LibreSSL ๋ผ์ด๋ธ๋ฌ๋ฆฌ 3.3.4 ๋ฐ 3.2.6์ ์ ๋ฒ์ ์ด ์ถ์๋์์ง๋ง ๋ณ๊ฒฝ ์ฌํญ ๋ชฉ๋ก์ผ๋ก ํ๋จํ๋ฉด CVE-2021-3712 ์ทจ์ฝ์ ์ด ์ ๊ฑฐ๋์์ต๋๋ค.
์ถ์ฒ : opennet.ru