인증 서 확인에서 무한 루프 DoS 버그를 패치합니다.

새 인증 버전은 3.0.2 및 1.1.1n 이며 현재 지원되는 두 가지 OpenSSL 버전(3.0 및 1.1.1)에 해당합니다.

인증

패치에는 Google Project Zero 팀의 잘 알려진 버그 제거자 Tavis Ormandy가 발견한 CVE-2022-0778 업데이트와 함께 정리된 오류 보고와 같은 몇 가지 일반적인 수정 사항이 포함되어 있습니다.

Ormandy 자신은 이 버그를 “작업하기에 재미있는 버그”라고 설명했습니다.인증

이 결함은 궁극적으로 거의 항상 올바르게 작동했지만 때로는 제대로 작동하지 않는 프로그램 루프로 인해 무한히 반복되어 문제가 되는 코드를 사용하여 프로그램을 중단시키고 DoS 또는 서비스 거부로 알려진 문제를 야기했습니다. 공격.

인증 엉성한 보안 코드는 영향을 받지 않음

흥미롭게도 그렇게 말할 수 있다면 버그는 프로그램이 보안 연결(예: HTTPS 탐색 요청)을 만들거나 수락할 때 올바른 작업을
수행하기로 결정하고 다른 프로그램에서 제공한 암호화 인증서를 확인하는 경우에만 분명히 발생합니다. 끝.

브라우저(또는 업데이터, 로그인 포털 등)는 상대방의 암호화 자격 증명을 수락하고 처음부터 어느 정도 신뢰할 수 있는
기관에서 발급했는지 여부를 확인하는 데 신경 쓰지 않았습니다.

… 아이러니하게도 영향을 받지 않습니다.

다시 말해서, 보안 검사를 우회하기 위해 작동하는 위조 또는 도난 인증서를 얻을 수 없었던 사기꾼은 그럼에도 불구하고
거부를 시도하는 동안 컴퓨터가 질식할 가짜 작동하지 않는 인증서를 구성할 수 있습니다. 그것.

분명히 이것은 공격자가 암호화 방식으로 사용자를 속여서 사용자가 해서는 안 되는 것을 기꺼이 신뢰하게 만드는 구멍보다 훨씬 덜 심각합니다.

그리고 공격자가 허가 없이 원치 않는 소프트웨어를 이식할 수 있는 악용 가능한 취약점보다 훨씬 덜 심각합니다.

그러나 CVE-2022-0778은 여전히 ​​알 가치가 있으며 버그의 특성은 모든 프로그래머에게 좋은 “가르칠 수 있는 순간”이 됩니다.

유비쿼터스 코드

아시다시피 OpenSSL은 가장 인기 있고 널리 사용되는 암호화 라이브러리 중 하나입니다. 인증

라이브러리는 많은 Unix 및 Linux 배포판의 핵심 구성 요소로 제공되며 여기에서 사용자가 설치했을 수 있는 다양한 다른
소프트웨어에서 자동으로 사용됩니다.

OpenSSL은 또한 앱이 대신 사용할 수 있는 자체 내장 암호화 라이브러리를 제공하는 Windows와 같은 운영 체제에서도 수많은 애플리케이션에 번들로 제공됩니다.

즉, 컴퓨터나 모바일 장치에 OpenSSL 사본이 0개, 1개, 일부 또는 여러 개 있을 수 있으며 모두 동시에 업데이트될 필요는 없습니다.

이는 차례로 OpenSSL 보안 업데이트가 항상 약간의 뉴스 스플래시를 만든다는 것을 의미합니다.

버그가 있는 코드가 계산하려고 했던 수학적 알고리즘을 파헤치지는 않을 것입니다.

OpenSSL 기능은 EC(Elliptic Curve) 디지털 서명을 검증할 때 사용되는 기능이라는 것뿐입니다.

기사 더 보기

이는 EC 암호화가 더 빠르고 메모리를 덜 사용하며 이전에 즐겨 사용하는 것으로 알려진 암호화 키보다 더 짧은 암호화 키가 필요하기 때문에 요즘 널리 사용됩니다. 동일한 수준의 보안을 위한 RSA.

이렇게 하면 암호화된 네트워크 연결을 설정할 때 앞뒤로 섞어야 하는 데이터의 양이 줄어들고 초당 수백, 수천 또는 수십만 개의 보안 연결을 처리할 수 있는 사용량이 많은 서버의 부하가 줄어듭니다.

BN_mod_sqrt()이 알고리즘에는 “큰 수의 모듈식 제곱근”의 약어 라고 하는 약간 난해한 함수가 포함됩니다 .

아시다시피 모듈식 산술(때로는 “시계 산술”이라고도 함)은 각 결과를 고정된 크기의 숫자로 나눈 후 나머지 또는 모듈러스 를 취하여 모든 중간 결과를 고정된 숫자의 자릿수로 유지하는 것을 포함합니다.

이는 현재 시간에 25시간을 더하면 발생하는 것과 유사합니다. 인증

먹튀검증