IT & Security/리눅스 :: 보안

CVE-2017-3737 : OpenSSL Read/write after in error state 취약점

la Nube 2017. 12. 12. 16:01
반응형

http://blog.alyac.co.kr/1440


"error state" 상태에서 SSL_read() 혹은 SSL_write() 함수를 호출할 때, "error state"메커니즘의 버그 때문에 원래의 의도대로 동작하지 않게 됩니다. 이 때문에 원래 데이터가 OpenSSL을 통해 데이터가 암/복호화 되어야 하는데, 더 이상 SSL/TLS 레이어에서 암/복호화 처리가 불가하게 됩니다.


-본문 중 일부


--


<Debian>


보안 취약점 CVE-2017-3737에 대하여...


데비안 9 Stretch (Stable)

 - openssl 1.1.0f-3+deb9u1 에서 보안 패치가 완료됨 (fixed)

 - openssl1.0 1.0.2l-2+deb9u1 은 취약하나, 아직 보안 패치가 없음 (vulnerable)


데비안 8 Jessie (OldStable) / 리눅스민트데비안에디션(LMDE) 2 Betsy

 - openssl 1.0.1t-1+deb8u7 은 취약하나, 아직 보안 패치가 없음 (vulnerable)


데비안 7 Wheezy (OldOldStable)

 - openssl 1.0.1t-1+deb7u3 은 취약하나, 아직 보안 패치가 없음 (vulnerable)


보안 취약점 CVE-2017-3738에 대하여...


데비안 9 Stretch (Stable)

 - openssl 1.1.0f-3+deb9u1 은 취약하나, 아직 보안 패치가 없음 (vulnerable)

 - openssl1.0 1.0.2l-2+deb9u1 은 취약하나, 아직 보안 패치가 없음 (vulnerable)


데비안 8 Jessie (OldStable) / 리눅스민트데비안에디션(LMDE) 2 Betsy

 - openssl 1.0.1t-1+deb8u7 에서 보안 패치가 완료됨 (fixed)


데비안 7 Wheezy (OldOldStable)

 - openssl 1.0.1t-1+deb7u3 에서 보안 패치가 완료됨 (fixed)


--


<Ubuntu>


보안 취약점 CVE-2017-3737과 CVE-2017-3738에 대하여...


우분투 17.10 Artful Aardvark

 - openssl 1.0.2g-1ubuntu15 라는 보안 패치의 배포가 대기 중임 (pending)


우분투 17.04 Zesty Zapus

 - openssl 1.0.2g-1ubuntu11.4 에서 보안 패치가 완료됨 (released)


우분투 16.10 Yakkety Yak

 - 지원종료


우분투 16.04 LTS Xenial Xerus / 리눅스민트 18.3 Sylvia

 - openssl 1.0.2g-1ubuntu4.10 에서 보안 패치가 완료됨 (released)


우분투 14.04 LTS Trusty Tahr / 리눅스민트 17.3 Rosa / 하모니카 2.1

 - openssl 1.0.1f-1ubuntu2.23 은 취약점에 영향을 받지 않음 (not-affected)


우분투 12.04 LTS Precise Pangolin / 리눅스민트 13 Maya

 - 지원종료


--


보안 패치가 발표된 데비안(LMDE 등 포함) 및 우분투(리눅스민트, 하모니카 등 포함) 사용자께서는 터미널에서 다음의 명령어를 통해 보안 패치를 하기 바랍니다.


$ sudo apt-get update && sudo apt-get dist-upgrade -y


--


<OpenVPN>


보안 취약점 CVE-2017-3737과 CVE-2017-3738에 대하여...


OpenVPN이 사용하는 OpenSSL 라이브러리 버전은 다음과 같음

library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10

즉, 위 두 취약점에 취약하며, 아직 보안 패치가 이루어지지 않음


아울러 OpenVPN을 가져와 쓰고 있는 거의 대부분의 VPN들 역시 취약할 것으로 예상됨

(OpenVPN Connect, OpenVPN GUI, ExpressVPN, NordVPN, PIA VPN, ProtonVPN 등)


--


위 두 취약점과 관련하여 NordVPN의 답변은 다음과 같음


Hello,


Thank you for your letter.


Regarding the recent news with OpenSSL, we can disclose that we're not affected by the news and vulnerabilities mentioned in your provided security advisory.


If you have any other questions regarding our services, let us know.


Sincerely,

Cataldo Carrea

Customer Support Specialist

NordVPN.com


--


*여기에서 말하는 우분투는 다른 모든 우분투 공식 및 비공식 변형판을 포함합니다. 예를 들어, 주분투, 루분투, 쿠분투, 우분투그놈, 우분투마테, 우분투벗지, 엘리멘터리OS, 페퍼민트OS, 리눅스라이트, 조린OS 등을 모두 포함합니다.


*위 정보는 우분투 12.04 ESM(Extended Security Maintenance)을 포함하지 않습니다.


*위 정보는 작성자가 주로 사용하는 리눅스 배포판에 대해서만 작성하였습니다. 그 외의 배포판은 알아서 하셔야 합니다.



<참고>

https://www.openssl.org/news/secadv/20171207.txt

https://security-tracker.debian.org/tracker/CVE-2017-3737

https://security-tracker.debian.org/tracker/CVE-2017-3738

https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-3737.html

https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-3738.html



반응형