다른 경우에 우리는 서버의 기능에 영향을 줄 수 있는 다양한 실패와 공격을 보았습니다. 이 기사에서 우리는 새로운 OpenSSL의 버그 공격자가 서버를 다운시키고 제대로 작동하지 못하게 할 수 있습니다. 우리는 이 문제가 정확히 무엇으로 구성되어 있고 어떻게 피할 수 있는지 설명할 것입니다.
OpenSSL의 심각한 버그로 인해 서버 차단 가능
이 버그는 심각도가 높은 것으로 평가되었으며 OpenSSL 소프트웨어 라이브러리에 영향을 미칩니다. 그것은 받았다 CVSS 점수 7.5 그리고 공격자가 인증서를 구문 분석할 때 DoS 또는 서비스 거부 공격을 수행하도록 허용할 수 있습니다. 이러한 유형의 문제를 무한 루프라고 합니다. 버그는 특히 BN_mod_sqrt()라는 함수에 있습니다.
버그가 다음과 같이 기록되었습니다. CVE-2022-0778 많은 서버가 원격으로 서비스를 중단할 수 있습니다. 이 발견의 이면에 있는 보안 연구원은 인증서 서명 확인 전에 인증서 구문 분석이 수행됨을 나타냅니다. 이로 인해 외부에서 제공한 인증서를 구문 분석하는 모든 프로세스가 서비스 거부 공격의 대상이 될 수 있습니다.
이것은 올해 지금까지 OpenSSL에 영향을 미치는 첫 번째 취약점이 아니라는 점을 명심하십시오. 한 달 조금 전에 CVE-2022-0778로 등록된 또 다른 것이 있었지만 그 경우 심각도가 보통으로 평가되었고 CVSS 점수는 5.9였으므로 지금 이야기하는 것만큼 중요하지 않았습니다. .
사용 가능한 솔루션
OpenSSL에 영향을 미치고 서버의 원격 잠금을 허용하는 이 심각한 결함은 버전 1.0.2, 1.1.1 및 3.0 . 프로젝트 책임자들은 가능한 한 빨리 솔루션을 출시하기 위해 신속하게 작업에 착수했습니다. 이러한 방식으로 버전 1.0.2zd(프리미엄 지원 고객에게 제공), 1.1.1n 및 3.0.2를 출시했습니다.
문제는 버전 1.1.0도 영향을 받지만 사용 수명이 다해 업데이트를 받지 못한다는 것입니다. 그러나 아직 사용하고 최신 사용자로 전환하지 않은 사용자가 많을 수 있습니다.
보안 연구원들은 이 심각한 취약점이 악용되었다는 증거가 없다고 밝혔습니다. 그러나 그들은 주요 문제가 될 수 있는 다양한 시나리오가 있으므로 다음을 수행하는 것이 좋습니다. 최대한 빨리 업데이트 문제를 피하십시오.
다시 한 번, 항상 사용 가능한 최신 버전 시연된다. 특정 운영 체제, 사용하는 프로그램 또는 드라이버에 대해 나타나는 모든 업데이트 또는 패치를 설치하는 것이 필수적입니다. 이러한 방식으로 해커가 악용할 수 있는 취약성을 피하고 개인 정보와 장비의 적절한 기능을 손상시킬 수 있습니다.
웹사이트에서 SSL TLS 인증서 및 취약점을 확인하는 옵션이 있습니다. 이렇게 하면 페이지에 인증서 관련 문제가 있을 수 있는 시점을 파악하고 가능한 한 빨리 해결책을 찾는 데 도움이 됩니다.
