OpenSSL 3.0.0~3.0.6에서 취약점(CVE-2022-3786, CVE-2022-3602) 관련 안내 드립니다.

Openssl.org에서 발표된 주요 내용내용에 대해서는 아래를 참고 부탁드리며,
OpenSSL 3.0을 사용하시는 분들은 반드시 3.0.7 버전으로 업데이트를 부탁드립니다.

■ CVE-2022-3786 X.509 이메일 주소 가변 길이 버퍼 오버플로우
■ CVE-2022-3602 X.509 이메일 주소 4바이트 버퍼 오버플로우

1. 주요 타겟 및 조치 대상
- OpenSSL 3.0.0 - 3.0.6 사용자. 3.0.7로 업그레이드 권고

2. 3.0 이전 릴리즈에는 영향을 주지 않음
- OpenSSL 1.0.2, 1.1.1 및 기타 이전 버전은 영향을 받지 않음
- 즉 1.1.1s에 대한 업데이트를 출시했지만 이것은 버그 수정 릴리스일 뿐이며 보안 수정 사항은 포함되어 있지 않음

3. OpenSSL 3.0을 사용하는 모든 애플리케이션은 기본적으로 취약
- 신뢰할 수 없는 출처에서 받은 X.509 인증서를 확인하는 모든 OpenSSL 3.0 응용 프로그램은 취약한 것으로 간주

4. 업그레이드할 수 있을 때까지 완화 방법
- TLS 서버를 운영하는 사용자는 수정 사항이 적용될 때까지 사용 중인 경우 TLS 클라이언트 인증을 비활성화하는 것을 고려

5. TLS/SSL 인증서 교체 여부
- 아닙니다. TLS/SSL 인증서는 별도로 교체할 필요가 없습니다.

6. 어떤 버전의 OpenSSL을 사용해야 하는지
- 최신 버전의 OpenSSL 3.0(현재 3.0.7)을 사용하려면 새 애플리케이션을 개발
- OpenSSL 3.0을 사용하는 기존 애플리케이션은 가능한 한 빨리 3.0.7로 업그레이드 해야 함
- OpenSSL 1.1.1은 2023년 9월 11일까지 지원
- 이전 버전의 OpenSSL(예: 1.0.2) 사용자는 OpenSSL 3.0으로 업그레이드하는 것이 좋음
- OpenSSL 2 는 출시되지 않음

7. 패치본 다운로드 링크
https://www.openssl.org/source/
https://ubuntu.com/security/notices/USN-5710-1 (ubuntu)

* OpenSSL 업데이트 시 반드시 서비스 영향도를 파악하신 후 업데이트를 부탁드립니다.

8. OpenSSL 버전 확인 명령어
- Linux의 경우 명령어 창에서 "openssl version" 입력
- Windows의 경우, cmd에서 Apache 홈 위치에 bin 폴더로 이동하여 "openssl version" 입력.

*OpenSSL 관련 업데이트는 반드시 관련된분들(개발자, 엔지니어 등)과 논의하여 진행하시길 부탁드립니다.