본문 바로가기

리눅스 리뷰/Rocky Linux 8

Rocky Linux 8 보안 업데이트: RLSA-2026:36215 (compat-openssl10)

728x90

2026년 7월, Rocky Linux 배포처는 Rocky Linux 8 시스템을 대상으로 하는 중요(Important) 등급의 보안 업데이트 권고인 RLSA-2026:36215를 발표했습니다. 해당 업데이트는 구형 소프트웨어와의 호환성을 위해 제공되는 OpenSSL 1.0.2 라이브러리인 compat-openssl10 패키지의 심각한 메모리 관리 취약점을 해결하기 위한 것입니다.

1. 개요 및 배경

compat-openssl10 패키지는 최신 OpenSSL 1.1 또는 OpenSSL 3.0 이상 버전으로 컴파일할 수 없는 레거시 응용 프로그램들이 정상적으로 작동하고 안전하게 통신할 수 있도록 지원하는 호환성 레이어입니다. 이번에 발견된 취약점은 해당 패키지 내부의 암호화 검증 로직에서 발생하며, 시스템에 예기치 못한 유해한 영향을 미칠 수 있습니다.

2. 핵심 취약점 상세 정보 (CVE-2026-45447)

이 보안 권고에서 다루는 주요 취약점 정보는 다음과 같습니다.

항목 내용
취약점 번호 CVE-2026-45447
취약점 유형 Heap Use-After-Free (힙 재사용 취약점 / CWE-825)
발생 위치 OpenSSL 내 PKCS7_verify() 함수
심각도 점수 (CVSS v3) Base Score: 8.1 (High)
위험 요인 벡터 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

3. 취약점 발생 원인과 잠재적 영향

취약점은 PKCS#7 규격의 디지털 서명을 검증하는 PKCS7_verify() 함수가 실행되는 과정에서 발생합니다. 서명 데이터 검증 중 힙(Heap) 메모리 영역에 할당된 데이터가 해제된 후에도 프로그램이 해당 메모리 주소를 다시 참조하는 'Use-After-Free' 조건이 성립됩니다.

  • 메모리 오염 및 어플리케이션 크래시: 공격자가 조작한 유효하지 않거나 악의적인 PKCS7 서명 데이터를 시스템이 검증하도록 유도할 경우, 라이브러리를 사용하는 프로세스가 예기치 않게 종료되는 서비스 거부(DoS) 상태가 발생할 수 있습니다.
  • 임의 코드 실행 가능성: 이론적으로 공격자가 해제된 메모리 영역을 정교하게 제어할 수 있다면, 메모리 오염을 유도하여 대상 서버에서 원격으로 프로세스 권한의 임의 명령어를 실행할 가능성도 완전히 배제할 수 없습니다.

4. 영향받는 대상 시스템

본 업데이트 권고는 Rocky Linux 8 환경에 설치되어 작동 중인 아래의 패키지들에 적용됩니다.

  • compat-openssl10
  • compat-openssl10-debuginfo
  • compat-openssl10-debugsource

해당 배포판은 Red Hat Enterprise Linux 8(RHEL 8)의 업스트림 소스를 기반으로 하므로, RHEL 8 및 기타 동일 계열 호환 배포판에서도 동일한 취약점(RHSA-2026:36215)이 보고되어 수정 패치가 배포 중입니다.

5. 해결 방법 및 후속 조치

해당 취약점을 악용하는 공개된 익스플로잇(Exploit)은 아직 보고되지 않았으나, 위험도가 높은 취약점이므로 Rocky Linux 8을 운영 중인 관리자는 즉시 패치를 적용해야 합니다.

패치 적용 명령어:

# dnf update compat-openssl10

또는 시스템 전체 보안 업데이트를 위해 아래 명령어를 수행합니다.

# dnf upgrade --security

주의사항: 패키지 업데이트가 완료된 후에는 compat-openssl10 라이브러리를 참조하여 구동 중인 레거시 서비스 및 백그라운드 어플리케이션들을 반드시 재시작해야 변경된 보안 패치가 정상적으로 메모리에 반영됩니다.

반응형