PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2022/10/31 18:47:39
Name Regentag
Link #1 http://m.boannews.com/html/detail.html?idx=111111
Subject [일반] OpenSSL, 초고위험도 취약점에 대한 패치 예고
http://m.boannews.com/html/detail.html?idx=111111

오픈소스 암호화 통신 라이브러리인 OpenSSL에서 [초고위험도 취약점]에 대한 패치가 예고되었습니다.
OpenSSL은 리눅스 운영체제를 비롯하여 수많은 IT서비스의 기반 통신 시스템에 사용됩니다.

패치는 11월 1일 공개될 예정이며, 취약점의 내용은 아직 공개되지 않았습니다. 아마도 패치가 공개될 때 자세한 설명도 나오지 않을까 합니다.

전문가들은 [초고위험도] 취약점이니 만큼 지난 2014년의 하트블리드 사태급의 위협이 아닐까 예상한다는군요.
하트블리드 사태는 나무위키에 설명이 잘 되어있습니다: https://namu.wiki/w/하트블리드

모쪼록 관련업계에 계신분들은 큰 일 없이 무사히 넘기시길 바라겠습니다.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
Towasama
22/10/31 19:03
수정 아이콘
으아아아아
유리한
22/10/31 19:06
수정 아이콘
openSSL이 몇년 전 기준으로 사실상 두명이 만들던건데.. 지금은 기여자가 좀 늘었나 모르겠네요.
LG우승
22/10/31 19:07
수정 아이콘
11월 2일이 생일이라 연차를 냈는데 생존할 수 있을 것 인가..
Regentag
22/10/31 19:33
수정 아이콘
사실 패치 나오면 적용하고 조용히 넘어갈 수도 있습니다.
하트블리드 때와 비슷하다면 이런 유형의 취약점들은 일단 뭔가라 털렸다는걸 인지해야 문제가 되는데 털리는건 둘째치고 일단 [내가 공격을 받았는지 안 받았는지] 조차도 잘 모르니까요(…)
-안군-
22/10/31 19:28
수정 아이콘
OpenSSL 쓰고있는 프로젝트가 수없이 많을텐데... 덜덜덜;;
22/10/31 19:33
수정 아이콘
(수정됨) https://namu.wiki/w/%ED%95%98%ED%8A%B8%EB%B8%94%EB%A6%AC%EB%93%9C

대략적인 설명이 여기 나와있군요

잘못된 정보입니다 8년전 오류네요 크크
22/10/31 19:36
수정 아이콘
이래서 비밀번호같은 내용을 메모리에 갖고 있는것도 위험한. 쓰고나서 밀어버려야.
22/10/31 19:43
수정 아이콘
죄송합니다 잘못된 정보입니다 8년전 오류네요 크크
22/10/31 19:44
수정 아이콘
본문에도 있어서 일부러 올리신 줄 크크
22/10/31 19:34
수정 아이콘
기사로는 OpenSSL 3.0.6 에서 발생하는 취약점이라 하더라고요. 레드햇 계열에서는 아직 1.1.1 로 사용중이여서 문제는 없는데 우분투처럼 공격적으로 업데이트 하는 배포판을 사용중이거나 별도 OpenSSL 을 사용해서 사용한다면 취약점에 거릴듯 해요. 1.1.1 EOS 가 1년도 안남아서 슬슬 갈아타는 곳도 있을것 좀 있지 않을것 같은.

1.1.1 좀 더 쓰면 안되겠니! 거지같은 CentOS5 까지 지원해야 한다고!
순둥이
22/10/31 20:19
수정 아이콘
으악
Paranormal
22/10/31 21:24
수정 아이콘
어휴 살려주세요..
닉넴바꾸기좋은날
22/10/31 23:39
수정 아이콘
Log4j 사태, Heartbleed 같은 오픈소스 보안 취약점 문제는 참 무섭습니다. 아주 많은 사람들이 쓰고 있어서 더욱이요.
시큐어코딩이란게 참 어려운 것 같습니다.
Regentag
22/11/02 16:41
수정 아이콘
OpenSSL의 이번 취약점은 CVE-2022-3602, CVE-2022-3786입니다. 예정대로 패치가 발표되었고, 위험도는 High로 재조정 되었습니다.
https://news.hada.io/topic?id=7718

* 이번에 발표된 취약점은 X.509 Email Address Buffer Overflow 와 관련됨
* 인증서에 버퍼 오버플로우을 트리거하도록 설계된 특수하게 조작된 퓨니코드(Punycode)로 인코딩된 이메일 주소가 포함되어 있을 때 발생할 수 있음
* 처음 발표되었을 때에는 Critical 로 발표되었으나, 11월 1일 High로 낮춰짐
- REC(Remote Command Execution, 원격 실행)보다는 DoS(서비스 거부) 취약점에 가까운 것으로 확인되어 위험도 조정됨
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
97048 [정치] 경찰청 감찰팀 용산경찰서 감찰 착수 [55] kurt18868 22/11/01 18868 0
97047 [일반] 경북 봉화 매몰 사고 2차 시추 실패 [27] 똥진국13060 22/11/01 13060 4
97046 [일반] 이태원 사고, 불법 건축도 한 원인이다? [64] 이른취침15806 22/11/01 15806 2
97045 [정치] 강원도 발 금융 경색이 터져나오는 모양새입니다. [177] 네야21835 22/11/01 21835 0
97044 [정치] 이태원 사고 이전, 112 신고 요약 [297] 27831 22/11/01 27831 0
97043 [일반] 이태원 사고, 119 최초 신고자 녹취록 공개 [98] Leeka18365 22/11/01 18365 10
97042 [정치] 한 총리, 외신에 "치안 인원 더 투입했더라도 한계 있었을 것" [130] 빼사스18010 22/11/01 18010 0
97041 [일반] 소상공인 항체 무료 검사 피싱 (보험 가입 ) [7] 한사영우6536 22/11/01 6536 1
97040 [일반] RTX 4080이 미국에서 1200달러, 핀란드에서 1621유로 등록 [19] SAS Tony Parker 10709 22/11/01 10709 0
97039 [정치] 행안부 “객관적 상황 확인되지 않아 중립적으로 ‘사망자’ 표현” [79] 선인장18588 22/11/01 18588 0
97038 [일반] 오랜만에 제 자작곡 올립니다. [12] 포졸작곡가6670 22/11/01 6670 13
97037 [일반] [인도] 구글 깨갱 [12] 타카이12350 22/11/01 12350 2
97036 [정치] 5대 금융지주, 연말까지 95조원 규모 유동성 지원 나선다 [41] 기찻길15141 22/11/01 15141 0
97035 [정치] 박희영 용산구청장 "역할 다 했다" "핼러윈은 축제 아니라 현상" [298] Davi4ever29181 22/11/01 29181 0
97034 [정치] 자국민 5명 사망 이란 “한국 정부 현장 관리 부실” [72] 크레토스18964 22/11/01 18964 0
97033 [일반] 내가 생각하는 임창정 노래 수록곡 Best 5 [32] 오츠이치8673 22/11/01 8673 2
97032 [일반] 요즘 J-POP을 씹어먹고 있는 역대급 천재 괴물 Vaundy Best song [36] 환상회랑18860 22/11/01 18860 14
97031 [일반] 내가 생각하는 윤하 노래 Best 5 [79] copin12398 22/10/31 12398 5
97030 [일반] [스포/장문주의] 왜 재밌는지 모르겠는데 재밌는 <안도르> 시즌1 중간정산 [16] Serapium12322 22/10/31 12322 1
97029 [일반] 휴식이 용납되지 않는 사회에서 일어나지 말았어야 하는 참사 [53] 영소이18075 22/10/31 18075 57
97028 [일반] 나홀로 역행하는 애플의 3분기 실적 [25] Leeka11732 22/10/31 11732 1
97027 [일반] OpenSSL, 초고위험도 취약점에 대한 패치 예고 [14] Regentag12296 22/10/31 12296 2
97026 [정치] 이상민 행안부장관 "이태원 참사, 과연 경찰·소방이 원인인지 의문" [157] 빼사스21732 22/10/31 21732 0
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로