OpenSSL 버전 3.0.0 ~ 3.0.6은 이 문제에 취약합니다.
OpenSSL 3.0 사용자는 OpenSSL 3.0.7로 업그레이드해야 합니다.
OpenSSL 1.1.1 및 1.0.2는 이 문제의 영향을 받지 않습니다.
이 문제는 Polar Bear에 의해 2022년 10월 17일 OpenSSL에 보고되었습니다.
수정 사항은 Paul Dale 박사가 개발했습니다.
우리는 코드 실행으로 이어질 수 있는 작업 익스플로잇에 대해 알지 못합니다.
그리고 우리는 이 문제가 당시 악용되었다는 증거가 없습니다.
-------------------------------------------------------------------
심각도: 높음
버퍼 오버런은 X.509 인증서 확인에서 트리거될 수 있습니다.
특히 이름 제약 검사에서. 이후에 발생합니다.
인증서 체인 서명 확인 및 CA 중 하나가 다음을 수행해야 합니다.
악성 인증서에 서명했거나 애플리케이션을 계속하려면
신뢰할 수 있는 경로 구성 실패에도 불구하고 인증서 확인
발급자. 공격자는 인증서에서 악성 이메일 주소를 만들 수 있습니다.
`.'를 포함하는 임의의 바이트 수를 오버플로하려면 캐릭터
(십진수 46) 스택에. 이 버퍼 오버플로는 충돌을 일으킬 수 있습니다.
(서비스 거부를 유발함).
TLS 클라이언트에서 이것은 악성 코드에 연결하여 트리거될 수 있습니다.
섬기는 사람. TLS 서버에서는 서버가 요청하는 경우 트리거될 수 있습니다.
클라이언트 인증과 악의적인 클라이언트가 연결됩니다.