두 가지 취약점에 대한 수정 사항이 포함된 OpenSSL 1.1.1l 업데이트

두 가지 취약점을 제거한 OpenSSL 암호화 라이브러리 1.1.1l의 수정 릴리스를 사용할 수 있습니다.

• CVE-2021-3711은 SM2 암호화 알고리즘(중국에서 일반적)을 구현하는 코드의 버퍼 오버플로로, 버퍼 크기 계산 오류로 인해 버퍼 경계를 벗어난 영역에 최대 62바이트를 덮어쓸 수 있습니다. 공격자는 SM2 데이터를 해독하기 위해 EVP_PKEY_decrypt() 함수를 사용하는 응용 프로그램에 특별히 제작된 디코딩 데이터를 전달함으로써 잠재적으로 코드 실행 또는 응용 프로그램 충돌을 일으킬 수 있습니다.
• CVE-2021-3712는 ASN.1 문자열 처리 코드의 버퍼 오버플로로, 공격자가 어떻게든 생성할 수 있는 경우 애플리케이션 충돌을 일으키거나 프로세스 메모리의 내용을 공개할 수 있습니다(예: 메모리에 저장된 키 식별). 내부 ASN1_STRING 구조의 문자열 null 문자로 끝나지 않으며 X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() 및 X509_get1_ocsp()와 같은 인증서를 인쇄하는 OpenSSL 함수에서 처리합니다.

동시에, 취약점을 명시적으로 언급하지 않은 LibreSSL 라이브러리 3.3.4 및 3.2.6의 새 버전이 출시되었지만 변경 사항 목록으로 판단하면 CVE-2021-3712 취약점이 제거되었습니다.

출처 : opennet.ru