OpenSSL ์ํธํ ๋ผ์ด๋ธ๋ฌ๋ฆฌ 3.0.2 ๋ฐ 1.1.1n์ ์ ์ง ๊ด๋ฆฌ ๋ฆด๋ฆฌ์ค๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค. ์ด ์ ๋ฐ์ดํธ๋ ์๋น์ค ๊ฑฐ๋ถ(ํธ๋ค๋ฌ์ ๋ฌดํ ๋ฃจํ)๋ฅผ ์ ๋ฐํ๋ ๋ฐ ์ฌ์ฉํ ์ ์๋ ์ทจ์ฝ์ (CVE-2022-0778)์ ์์ ํฉ๋๋ค. ์ทจ์ฝ์ ์ ์ ์ฉํ๋ ค๋ฉด ํน๋ณํ ์ค๊ณ๋ ์ธ์ฆ์๋ฅผ ์ฒ๋ฆฌํ๋ ๊ฒ์ผ๋ก ์ถฉ๋ถํฉ๋๋ค. ์ฌ์ฉ์๊ฐ ์ ๊ณตํ ์ธ์ฆ์๋ฅผ ์ฒ๋ฆฌํ ์ ์๋ ์๋ฒ ๋ฐ ํด๋ผ์ด์ธํธ ์์ฉ ํ๋ก๊ทธ๋จ ๋ชจ๋์์ ๋ฌธ์ ๊ฐ ๋ฐ์ํฉ๋๋ค.
๋ฌธ์ ๋ BN_mod_sqrt() ํจ์์ ๋ฒ๊ทธ๋ก ์ธํด ๋ฐ์ํฉ๋๋ค. ์ด ๋ฒ๊ทธ๋ ์์๊ฐ ์๋ ๋ค๋ฅธ ๊ฐ์ ์ ๊ณฑ๊ทผ ๋ชจ๋๋ก๋ฅผ ๊ณ์ฐํ ๋ ๋ฃจํ๋ฅผ ๋ฐ์์ํต๋๋ค. ์ด ํจ์๋ ํ์ ๊ณก์ ์ ๊ธฐ๋ฐ์ผ๋ก ํ๋ ํค๋ก ์ธ์ฆ์๋ฅผ ๊ตฌ๋ฌธ ๋ถ์ํ ๋ ์ฌ์ฉ๋ฉ๋๋ค. ์์ ์ ์๋ชป๋ ํ์ ๊ณก์ ๋งค๊ฐ๋ณ์๋ฅผ ์ธ์ฆ์๋ก ๋์ฒดํ๋ ๊ฒ์ผ๋ก ๊ท๊ฒฐ๋ฉ๋๋ค. ์ธ์ฆ์์ ๋์งํธ ์๋ช ์ด ํ์ธ๋๊ธฐ ์ ์ ๋ฌธ์ ๊ฐ ๋ฐ์ํ๋ฏ๋ก ์ธ์ฆ๋์ง ์์ ์ฌ์ฉ์๊ฐ ๊ณต๊ฒฉ์ ์ํํ์ฌ OpenSSL์ ์ฌ์ฉํ๋ ์์ฉ ํ๋ก๊ทธ๋จ์ ํด๋ผ์ด์ธํธ ๋๋ ์๋ฒ ์ธ์ฆ์๊ฐ ์ ์ก๋ ์ ์์ต๋๋ค.
์ด ์ทจ์ฝ์ ์ OpenBSD ํ๋ก์ ํธ์์ ๊ฐ๋ฐํ LibreSSL ๋ผ์ด๋ธ๋ฌ๋ฆฌ์๋ ์ํฅ์ ๋ฏธ์น๋ฉฐ, ์ด์ ๋ํ ์์ ์ฌํญ์ LibreSSL 3.3.6, 3.4.3 ๋ฐ 3.5.1์ ์์ ๋ฆด๋ฆฌ์ค์์ ์ ์๋์์ต๋๋ค. ๋ํ ์ทจ์ฝ์ ์ ์
์ฉํ๊ธฐ ์ํ ์กฐ๊ฑด์ ๋ํ ๋ถ์์ด ๊ณต๊ฐ๋์์ต๋๋ค(์ ์ง ํ์์ ์ผ์ผํค๋ ์
์ฑ ์ธ์ฆ์์ ์๋ ์์ง ๊ณต๊ฐ์ ์ผ๋ก ๊ฒ์๋์ง ์์์ต๋๋ค).
์ถ์ฒ : opennet.ru