암호화 라이브러리인 OpenSSL에서 서비스 거부(DoS) 공격을 일으킬 수 있는 새로운 취약점이 발견되었습니다.
그리고 보안 기능을 우회할 수 있는 취약점과 오버플로우 버그와 관련된 취약점 등도 같이 발견되었습니다.
--
■ Moderate 등급 (2)
CVE-2018-0739 : Constructed ASN.1 types with a recursive definition could exceed the stack
CVE-2018-0733 : Incorrect CRYPTO_memcmp on HP-UX PA-RISC
■ Low 등급 (1)
CVE-2017-3738 : rsaz_1024_mul_avx2 overflow bug on x86_64
자세한 업데이트 내역은 아래 링크의 정보를 참고하기 바랍니다.
--
□ OpenSSL 1.1.0g 및 이하 버전 → OpenSSL 1.1.0h 버전으로 업데이트
□ OpenSSL 1.0.2n 및 이하 버전 → OpenSSL 1.0.2o 버전으로 업데이트
※ https://www.openssl.org/news/secadv/20180327.txt
--
<OpenVPN>
OpenVPN이 현재 사용하는 OpenSSL 라이브러리 버전은 다음과 같습니다.
- library versions: OpenSSL 1.1.0f, 25 May 2017, LZO 2.10
즉, 위 세 취약점에 취약하며, 아직 보안 패치가 이루어지지 않았습니다.
아울러 OpenVPN을 가져와 쓰고 있는 거의 대부분의 VPN들 역시 취약할 것으로 예상됩니다.
(OpenVPN Connect, OpenVPN GUI, ExpressVPN, NordVPN, PIA VPN, ProtonVPN 등)
현재 사용하고 있는 NordVPN에는 문의 메일을 보냈습니다. 답변을 기다리는 중입니다.
--
<Debian>
데비안 9 Stretch (Stable)
- CVE-2018-0739 : openssl 1.1.0f-3+deb9u1 및 openssl1.0 1.0.2l-2+deb9u2는 취약하나, 아직 보안 패치 없음
- CVE-2018-0733 : openssl 1.1.0f-3+deb9u1 및 openssl1.0 1.0.2l-2+deb9u2는 취약하나, 아직 보안 패치 없음
- CVE-2017-3738 : openssl 1.1.0f-3+deb9u1은 취약하고, openssl1.0 1.0.2l-2+deb9u2는 영향을 받지 않음
데비안 8 Jessie (OldStable) 및 리눅스민트 데비안에디션(LMDE) 2 Betsy
- CVE-2018-0739 : openssl 1.0.1t-1+deb8u7은 취약하나, 아직 보안 패치 없음
- CVE-2018-0733 : openssl 1.0.1t-1+deb7u3은 영향을 받지 않음
- CVE-2017-3738 : openssl 1.0.1t-1+deb8u7은 영향을 받지 않음
데비안 7 Wheezy (OldOldStable)
- CVE-2018-0739 : openssl 1.0.1t-1+deb7u3은 취약하나, 아직 보안 패치 없음
- CVE-2018-0733 : openssl 1.0.1t-1+deb7u3은 영향을 받지 않음
- CVE-2017-3738 : openssl 1.0.1t-1+deb7u3은 영향을 받지 않음
--
<Ubuntu>
우분투 16.04 LTS / 리눅스민트 18.x
- CVE-2018-0739 : openssl 1.0.2g-1ubuntu4.11에서 보안 패치 완료
- CVE-2018-0733 : 영향을 받지 않음
- CVE-2017-3738 : 이전 버전인 openssl 1.0.2g-1ubuntu4.10에서 이미 보안 패치 완료
우분투 14.04 LTS / 리눅스민트 17.x / 하모니카 2.1
- CVE-2018-0739 : openssl 1.0.1f-1ubuntu2.24에서 보안 패치 완료
- CVE-2018-0733 : 영향을 받지 않음
- CVE-2017-3738 : 영향을 받지 않음
출처: http://la-nube.tistory.com/361 [la Nube's Lab. | 라 누베 연구소]