OpenSSL 프로젝트 팀은 10 월 25 일 OpenSSL V3 버전 3.0.6에 존재했던 두 가지 높은 심각도 취약성 (슬롯 게임2022-3602, 슬롯 게임2022-3786)을 발표했다.
OpenSSL 1.X 버전은 영향을받지 않습니다.
원래 중요한 것으로 간주 된 슬롯 게임2022-3602는 테스트 후 하향 조정되었습니다.
이러한 취약점은 이름 제한 조건에서 X.509 인증서 유효성 검사 부분에서 스택 기반 버퍼 오버플로와 관련이 있으며 TLS 클라이언트 또는 서버 구성에서 악성 서버 또는 인증서에 연결할 때 트리거 될 수 있습니다.
슬롯 게임2022-3602는 악의적 인 이메일 주소를 사용하여 스택의 4 바이트 오버 플로우와 관련이 있으며, DOS (Denial of Service)를 달성 할 가능성이 있지만 원격 코드 실행 (RCE)의 가능성은 불가능합니다.
슬롯 게임2022-3786을 사용하면 공격자가 ""로 버퍼를 오버플로 할 수 있습니다. 캐릭터, RCE에 노출되는 것을 가정하지 않습니다.