OpenSSL, 구글 퍼징 서비스 'OSS-Fuzz' 로 발견 된 취약점 패치

지난 목요일에 공개된 OpenSSL 업데이트는 Google의 오픈 소스 OSS-Fuzz 퍼징 서비스를 이용해 발견한 두 가지의 취약점을 패치했다.

 OpenSSL 1.1.0g 및 1.0.2m의 릴리스로 패치된 취약점은 CVE-2017-3736이다. 이 취약점은 BMI1, BMI2 및 ADX 확장을 지원하는 프로세서 

(예 : Intel Broadwell 5 세대 이상 또는 AMD Ryzen)에 영향을 미친다. 이로 인해 공격자는 암호화 키를 복구하고 보호된 통신에 액세스 할 수 있지만, OpenSSL 개발자는 공격을 수행하기 

어렵다고 주장했다. "분석 결과에 따르면 이 결함으로 인한 RSA 및 DSA 공격은 수행하기 매우 어렵다. 하지만, DH 공격은 개인 키에 관한 정보를 추출하는 데 필요한 작업이 대부분 

오프라인에서 수행될 수 있기 때문에 공격 가능성이 아예 없지는 않다 "라고 OpenSSL은 권고했다. 따라서 사용자들은 최신버전으로 업데이트 해야 한다.

[http://www.securityweek.com/openssl-patches-flaws-found-google-fuzzer