2026년 7월, Rocky Linux 배포처는 Rocky Linux 8 시스템을 대상으로 하는 중요(Important) 등급의 보안 업데이트 권고인 RLSA-2026:36215를 발표했습니다. 해당 업데이트는 구형 소프트웨어와의 호환성을 위해 제공되는 OpenSSL 1.0.2 라이브러리인 compat-openssl10 패키지의 심각한 메모리 관리 취약점을 해결하기 위한 것입니다.
1. 개요 및 배경
compat-openssl10 패키지는 최신 OpenSSL 1.1 또는 OpenSSL 3.0 이상 버전으로 컴파일할 수 없는 레거시 응용 프로그램들이 정상적으로 작동하고 안전하게 통신할 수 있도록 지원하는 호환성 레이어입니다. 이번에 발견된 취약점은 해당 패키지 내부의 암호화 검증 로직에서 발생하며, 시스템에 예기치 못한 유해한 영향을 미칠 수 있습니다.
2. 핵심 취약점 상세 정보 (CVE-2026-45447)
이 보안 권고에서 다루는 주요 취약점 정보는 다음과 같습니다.
| 항목 | 내용 |
|---|---|
| 취약점 번호 | CVE-2026-45447 |
| 취약점 유형 | Heap Use-After-Free (힙 재사용 취약점 / CWE-825) |
| 발생 위치 | OpenSSL 내 PKCS7_verify() 함수 |
| 심각도 점수 (CVSS v3) | Base Score: 8.1 (High) |
| 위험 요인 벡터 | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
3. 취약점 발생 원인과 잠재적 영향
취약점은 PKCS#7 규격의 디지털 서명을 검증하는 PKCS7_verify() 함수가 실행되는 과정에서 발생합니다. 서명 데이터 검증 중 힙(Heap) 메모리 영역에 할당된 데이터가 해제된 후에도 프로그램이 해당 메모리 주소를 다시 참조하는 'Use-After-Free' 조건이 성립됩니다.
- 메모리 오염 및 어플리케이션 크래시: 공격자가 조작한 유효하지 않거나 악의적인 PKCS7 서명 데이터를 시스템이 검증하도록 유도할 경우, 라이브러리를 사용하는 프로세스가 예기치 않게 종료되는 서비스 거부(DoS) 상태가 발생할 수 있습니다.
- 임의 코드 실행 가능성: 이론적으로 공격자가 해제된 메모리 영역을 정교하게 제어할 수 있다면, 메모리 오염을 유도하여 대상 서버에서 원격으로 프로세스 권한의 임의 명령어를 실행할 가능성도 완전히 배제할 수 없습니다.
4. 영향받는 대상 시스템
본 업데이트 권고는 Rocky Linux 8 환경에 설치되어 작동 중인 아래의 패키지들에 적용됩니다.
compat-openssl10compat-openssl10-debuginfocompat-openssl10-debugsource
해당 배포판은 Red Hat Enterprise Linux 8(RHEL 8)의 업스트림 소스를 기반으로 하므로, RHEL 8 및 기타 동일 계열 호환 배포판에서도 동일한 취약점(RHSA-2026:36215)이 보고되어 수정 패치가 배포 중입니다.
5. 해결 방법 및 후속 조치
해당 취약점을 악용하는 공개된 익스플로잇(Exploit)은 아직 보고되지 않았으나, 위험도가 높은 취약점이므로 Rocky Linux 8을 운영 중인 관리자는 즉시 패치를 적용해야 합니다.
패치 적용 명령어:
# dnf update compat-openssl10
또는 시스템 전체 보안 업데이트를 위해 아래 명령어를 수행합니다.
# dnf upgrade --security
주의사항: 패키지 업데이트가 완료된 후에는 compat-openssl10 라이브러리를 참조하여 구동 중인 레거시 서비스 및 백그라운드 어플리케이션들을 반드시 재시작해야 변경된 보안 패치가 정상적으로 메모리에 반영됩니다.
'리눅스 리뷰 > Rocky Linux 8' 카테고리의 다른 글
| Rocky Linux 8 보안 업데이트: RLSA-2026:38847 (container-tools:rhel8) (0) | 2026.07.14 |
|---|---|
| Rocky Linux 8 보안 업데이트: RLSA-2026:38503 (OpenSSL) (0) | 2026.07.14 |
| Rocky Linux 8 보안 업데이트: RLSA-2026:38487 (xorg-x11-server) (0) | 2026.07.14 |
| Rocky Linux 8 보안 업데이트: RLSA-2026:38488 (xorg-x11-server-Xwayland) (0) | 2026.07.14 |
| Rocky Linux 8 보안 업데이트: RLSA-2026:38485 (gegl) (0) | 2026.07.14 |