출처: http://la-nube.tistory.com/299 [la Nube's Lab. | 라 누베 연구소]
"error state" 상태에서 SSL_read() 혹은 SSL_write() 함수를 호출할 때, "error state"메커니즘의 버그 때문에 원래의 의도대로 동작하지 않게 됩니다. 이 때문에 원래 데이터가 OpenSSL을 통해 데이터가 암/복호화 되어야 하는데, 더 이상 SSL/TLS 레이어에서 암/복호화 처리가 불가하게 됩니다.
-본문 중 일부
--
<Debian>
보안 취약점 CVE-2017-3737에 대하여...
데비안 9 Stretch (Stable)
- openssl 1.1.0f-3+deb9u1 에서 보안 패치가 완료됨 (fixed)
- openssl1.0 1.0.2l-2+deb9u1 은 취약하나, 아직 보안 패치가 없음 (vulnerable)
데비안 8 Jessie (OldStable) / 리눅스민트데비안에디션(LMDE) 2 Betsy
- openssl 1.0.1t-1+deb8u7 은 취약하나, 아직 보안 패치가 없음 (vulnerable)
데비안 7 Wheezy (OldOldStable)
- openssl 1.0.1t-1+deb7u3 은 취약하나, 아직 보안 패치가 없음 (vulnerable)
보안 취약점 CVE-2017-3738에 대하여...
데비안 9 Stretch (Stable)
- openssl 1.1.0f-3+deb9u1 은 취약하나, 아직 보안 패치가 없음 (vulnerable)
- openssl1.0 1.0.2l-2+deb9u1 은 취약하나, 아직 보안 패치가 없음 (vulnerable)
데비안 8 Jessie (OldStable) / 리눅스민트데비안에디션(LMDE) 2 Betsy
- openssl 1.0.1t-1+deb8u7 에서 보안 패치가 완료됨 (fixed)
데비안 7 Wheezy (OldOldStable)
- openssl 1.0.1t-1+deb7u3 에서 보안 패치가 완료됨 (fixed)
--
<Ubuntu>
보안 취약점 CVE-2017-3737과 CVE-2017-3738에 대하여...
우분투 17.10 Artful Aardvark
- openssl 1.0.2g-1ubuntu15 라는 보안 패치의 배포가 대기 중임 (pending)
우분투 17.04 Zesty Zapus
- openssl 1.0.2g-1ubuntu11.4 에서 보안 패치가 완료됨 (released)
우분투 16.10 Yakkety Yak
- 지원종료
우분투 16.04 LTS Xenial Xerus / 리눅스민트 18.3 Sylvia
- openssl 1.0.2g-1ubuntu4.10 에서 보안 패치가 완료됨 (released)
우분투 14.04 LTS Trusty Tahr / 리눅스민트 17.3 Rosa / 하모니카 2.1
- openssl 1.0.1f-1ubuntu2.23 은 취약점에 영향을 받지 않음 (not-affected)
우분투 12.04 LTS Precise Pangolin / 리눅스민트 13 Maya
- 지원종료
--
보안 패치가 발표된 데비안(LMDE 등 포함) 및 우분투(리눅스민트, 하모니카 등 포함) 사용자께서는 터미널에서 다음의 명령어를 통해 보안 패치를 하기 바랍니다.
$ sudo apt-get update && sudo apt-get dist-upgrade -y
--
<OpenVPN>
보안 취약점 CVE-2017-3737과 CVE-2017-3738에 대하여...
OpenVPN이 사용하는 OpenSSL 라이브러리 버전은 다음과 같음
library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
즉, 위 두 취약점에 취약하며, 아직 보안 패치가 이루어지지 않음
아울러 OpenVPN을 가져와 쓰고 있는 거의 대부분의 VPN들 역시 취약할 것으로 예상됨
(OpenVPN Connect, OpenVPN GUI, ExpressVPN, NordVPN, PIA VPN, ProtonVPN 등)
--
*여기에서 말하는 우분투는 다른 모든 우분투 공식 및 비공식 변형판을 포함합니다. 예를 들어, 주분투, 루분투, 쿠분투, 우분투그놈, 우분투마테, 우분투벗지, 엘리멘터리OS, 페퍼민트OS, 리눅스라이트, 조린OS 등을 모두 포함합니다.
*위 정보는 우분투 12.04 ESM(Extended Security Maintenance)을 포함하지 않습니다.
*위 정보는 작성자가 주로 사용하는 리눅스 배포판에 대해서만 작성하였습니다. 그 외의 배포판은 알아서 하셔야 합니다.
<참고>
https://www.openssl.org/news/secadv/20171207.txt
https://security-tracker.debian.org/tracker/CVE-2017-3737
https://security-tracker.debian.org/tracker/CVE-2017-3738
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-3737.html
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-3738.html
출처: http://la-nube.tistory.com/299 [la Nube's Lab. | 라 누베 연구소]