OPENSSL 업데이트 소개

안녕하세요~~ 저희는 공공의 적 팀입니다~~<(*^.^*)/

 

현재 KISA 한국인터넷진흥원에서는 5/19일 새로운 버전의 OPENSSL 업데이트를 권장하고 있습니다.  □ 개요  o OpenSSL에서 발생하는 취약점을 해결한 보안 업데이트 발표  o 낮은 버전 사용자는 여러 가지 공격에 취약하므로, 최신 버전으로 업데이트 권고   □ 설명 [1]  o OpenSSL 내 c_rehash 스크립트에서 쉘 메타 문자를 적절하게 삭제하지 않아 발생하는 명령 주입 취약점(CVE-2022-1292)  o OpenSSL 내 OCSP_basic_verify 함수가 응답 서명 인증서를 잘못 확인하여 발생하는 인증 오류 취약점(CVE-2022-1343)  o RC4-MD5 암호 제품군을 통해 구현된 OpenSSL에서 AAD 데이터를 MAC키로 잘못 사용하여 발생하는 비밀번호 오류 취약점(CVE-2022-1434)  o OpenSSL에서 인증서 또는 키를 디코딩할 때 사용하는 OPENSSL_LH_flush() 함수의 메모리 재사용을 중단하는 버그로 인해 발생하는 서비스 거부 취약점(CVE-2022-1473) □ 영향받는 버전  o OpenSSL 1.0.2 및 이전 버전  o OpenSSL 1.1.1 및 이전 버전  o OpenSSL 3.0 및 이전 버전 □ 해결 방안  o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트 [2]   - OpenSSL 1.0.2 버전 사용자 : 1.0.2ze 버전으로 업데이트   - OpenSSL 1.1.1 버전 사용자 : 1.1.1o 버전으로 업데이트   - OpenSSL 3.0 버전 사용자 : 3.0.3 버전으로 업데이트  ※ OpenSSL 1.0.2 버전(Premium Level Support 사용자 제외) 및 1.1.0 버전은 더 이상 업데이트가 지원되지 않으니 OpenSSL 1.1.1o 또는 3.0.3 버전으로 변경할 것을 권고

 

리눅스 OPENSSL 업데이트 

 

OPENSSL 1.1.1n   -->  OPENSSL 1.1.1o  

 

#루트 계정 전환

sudo -i

 

#최신버전 다운로드 및 소스 컴파일

cd /usr/local/src

wget https://www.openssl.org/source/openssl-1.1.1o.tar.gz --no-check-certificate

tar xvfz openssl-1.1.1o.tar.gz

cd openssl-1.1.1o/

./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl shared zlib

make && make install

 

#압축 파일 삭제

cd ..

rm openssl-1.1.1o.tar.gz

 

#동적 링크 생성

ln -s /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1

ln -s /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

+ 기존에 연결된 libssl, libcrypto에 대한 동적 링크 존재 시, 해제

 

#기존 동적 링크 삭제

unlink /usr/bin/openssl

 

#동적 링크 생성

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

 

#기존 라이브러리 참조 경로 존재 시, 해제

ls /etc/ld.so.conf.d/openssl*

rm /etc/ld.so.conf.d/openssl*

 

#새로운 라이브러리 참조 경로 등록

vim /etc/ld.so.conf.d/openssl-1.1.1o.conf

/usr/local/openssl/lib

ldconfig -v

 

#버전 확인

openssl version