두 가지 취약점에 대한 수정 사항이 포함된 OpenSSL 1.1.1l 업데이트

두 가지 취약점을 제거한 OpenSSL 암호화 라이브러리 1.1.1l의 수정 릴리스를 사용할 수 있습니다.

• CVE-2021-3711 — 중국에서 흔히 사용되는 SM2 암호화 알고리즘을 구현하는 코드의 버퍼 오버플로우 취약점으로 인해 버퍼 크기 계산 오류로 인해 버퍼 경계를 벗어난 영역에 최대 62바이트가 덮어쓰기될 수 있습니다. 공격자는 SM2 데이터를 복호화하기 위해 EVP_PKEY_decrypt() 함수를 사용하는 애플리케이션에 특수하게 포맷된 데이터를 전달하여 복호화함으로써 코드 실행 또는 애플리케이션 충돌을 유발할 수 있습니다.
• CVE-2021-3712 - ASN.1 문자열 처리 코드의 버퍼 오버플로로 인해 공격자가 애플리케이션을 충돌시키거나 프로세스 메모리의 내용을 알아낼 수 있습니다(예: 메모리에 저장된 키를 알아내는 것). 이는 공격자가 내부 ASN1_STRING 구조에서 null로 끝나지 않는 문자열을 구성하고 X509_aux_print(), X509_get1_email(), X509_REQ_get1_email(), X509_get1_ocsp()와 같은 OpenSSL 인증서 인쇄 함수에서 처리할 수 있기 때문입니다.

동시에 LibreSSL 라이브러리 3.3.4 및 3.2.6의 새로운 버전이 출시되었는데, 이 버전에서는 취약점을 명시적으로 언급하지 않았지만 변경 사항 목록을 보면 취약점 CVE-2021-3712가 제거된 것으로 보입니다.

출처 : opennet.ru