[취약점 조치]OpenSSL 취약점 보안 업데이트(CVE-2022-0778)

 

CVE-2022-0788 OpenSSL

 

 

KISA에서 최근에 Openssl관련 문제가 발견돼 조치사항이 나왔다.

 

자세한 내용은 아래에서 확인 가능하며.

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36498 

KISA 인터넷 보호나라&KrCERT

 

 

OpenSSL 내 BN_mod_sqrrt()함수에서 연산 시 무한 루프로 인해 발생하는 서비스거부 취약점 이슈이다.

(CVE-2022-0778)

 

 

영향받는 받는 버전

 o OpenSSL 1.0.2 및 이전 버전
 o OpenSSL 1.1.1 및 이전 버전
 o OpenSSL 3.0 및 이전 버전

 

해결 방법

 o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]
  - OpenSSL 1.0.2 버전 사용자 : 1.0.2zd 버전으로 업데이트
  - OpenSSL 1.1.1 버전 사용자 : 1.1.1n 버전으로 업데이트
  - OpenSSL 3.0 버전 사용자 : 3.0.2 버전로 업데이트
※ OpenSSL 1.0.2 버전(Premium Level Support 사용자 제외) 및 1.1.0 버전은 더 이상 업데이트가 지원되지 않으니 OpenSSL 1.1.1n 또는 3.0.2 버전으로 변경할 것을 권고

 

최근 CentOS7.9를 설치시 기본 설치된 openssl version이다.

 

그에 앞서 보통 고객사는 폐쇄망으로 사전에 패키지를 받아 테스트를 하고 yum은 사용할수 없다.

 

openssl을 설치하기 위해서는 gcc 컴파일러가 필욯다.

그래서 

#rpm패키지를 설치하지 않고 해당 특정디렉토리에 다운받는다.
yum install --downloadonly --downloaddir=/package/gcc gcc 
#해당 디렉토리에 다운받는다.
cd /package/gcc

rpm -Uvh *.rpm

gcc를 다운받고 다운 받은 모든 rpm을 설치 진행해준다.

mkdir /package/openssl

cd /package/openssl
#다운 받기
wget https://www.openssl.org/source/openssl-1.1.1n.tar.gz

 

#압축해제한다. 
tar -xvzf openssl-1.1.1b.tar.gz

cd openssl-1.1.1b

#source 컴파일 실행한다.


./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared
make
make install

vi /etc/ld.so.conf.d/openssl-1.1.1b.conf
   /usr/local/ssl/lib

ldconfig -v

ln -s /usr/local/ssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/ssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

mv /usr/bin/openssl /usr/bin/openssl1.0.1(업데이트 전 버전)

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl

openssl version

위와 같이 패치 진행하면 된다.