OpenSSL 3.0 - CVE-2022-3602, CVE-2022-3786 취약점 및 조치 방안 정리

(asecurity.dev)

8P by regentag 2022-11-02 | favorite | 댓글 3개

이번에 발표된 취약점은 X.509 Email Address Buffer Overflow 와 관련됨
인증서에 버퍼 오버플로우을 트리거하도록 설계된 특수하게 조작된 퓨니코드(Punycode)로 인코딩된 이메일 주소가 포함되어 있을 때 발생할 수 있음
처음 발표되었을 때에는 Critical 로 발표되었으나, 11월 1일 High로 낮춰짐
- RCE(Remote Command Execution, 원격 실행)보다는 DoS(서비스 거부) 취약점에 가까운 것으로 확인되어 위험도 조정됨

richardk 2022-11-03 [-]

AWS services are not affected, and no customer action is required.

https://aws.amazon.com/security/security-bulletins/AWS-2022-008/

alus20x 2022-11-02 [-]

요약 감사합니다!
4번째 줄 중, 원격 실행에 대한 약자가 RCE인데, REC로 오타가 들어있네요

regentag 2022-11-02 [-]

OpenSSL, CVE-2022-3786 / CVE-2022-3602 패치한 3.07 릴리즈