본문 바로가기

리눅스 리뷰/Rocky Linux 8

Rocky Linux 8 보안 업데이트: RLSA-2026:38503 (OpenSSL)

728x90

1. 개요

Rocky Linux 재단은 Rocky Linux 8 운영체제 패키지 중 OpenSSL에서 발견된 취약점을 해결하기 위한 보안 업데이트(RLSA-2026:38503)를 발표했습니다. 이번 업데이트는 외부 공격자가 시스템에 서비스 거부(DoS, Denial of Service) 상태를 유발할 수 있는 위험을 방지하기 위한 필수 조치입니다.

2. 주요 정보 요약

보안 권고 번호 RLSA-2026:38503 (Upstream 대상: RHSA-2026:38503)
연관 CVE 번호 CVE-2026-28390
취약점 중요도 Moderate (보통) / CVSS Base Score: 7.5 (High)
대상 운영체제 Rocky Linux 8
영향을 받는 패키지 openssl, openssl-libs, openssl-devel 등 관련 라이브러리 전체

3. 취약점 (CVE-2026-28390) 세부 내용

원인 및 매커니즘

OpenSSL이 조작된 CMS(Cryptographic Message Syntax) EnvelopedData 메시지를 처리하는 과정에서 널 포인터 역참조(NULL pointer dereference) 오류가 발생합니다. 구체적으로는 RSA-OAEP 암호화 방식을 사용하는 KeyTransportRecipientInfo 구조체를 처리할 때, RSA-OAEP SourceFunc 알고리즘 식별자의 선택적 매개변수(Optional Parameters) 필드가 실제로 존재하는지 검증하지 않고 접근을 시도하기 때문에 발생합니다.

영향 및 위협 시나리오

인증되지 않은 원격의 공격자가 특수하게 조작된 CMS 데이터를 취약한 서버에 전송하는 방식으로 공격이 성립합니다. S/MIME 프로토콜 처리기나 CMS 기반 프로토콜, 또는 내부적으로 CMS_decrypt() 함수를 호출하여 외부 입력 데이터를 처리하는 애플리케이션 및 서비스가 주요 타깃이 됩니다. 암호화나 인증 연산이 수행되기 전 단계에서 애플리케이션 프로세스가 비정상 종료(Crash)되므로, 시스템의 가용성을 무력화하는 서비스 거부(DoS) 상태를 초래합니다.

FIPS 모듈 해당 여부

문제가 되는 코드는 OpenSSL FIPS 모듈의 경계 외부에 위치해 있으므로, OpenSSL 3.0 이상 기반의 FIPS 암호화 모듈 자체는 해당 취약점의 직접적인 영향을 받지 않습니다.

4. 해결 방법 및 대응 절차

해당 취약점은 Rocky Linux 8에서 제공하는 공식 업데이트 패키지를 통해 해결되었습니다. 인프라 관리자는 아래의 명령어를 사용하여 패키지를 최신 버전으로 업데이트해야 합니다.

패키지 업데이트 명령어

# 시스템 패키지 리스트 업데이트 및 고정 적용
dnf clean all
dnf update openssl openssl-libs -y

적용 확인

업데이트가 완료된 후 시스템에 설치된 OpenSSL 버전을 확인하여 권고 버전 이상이 적용되었는지 검증하십시오.

rpm -qa | grep openssl

주의사항

OpenSSL 라이브러리는 웹 서버(Nginx, Apache), SSH, 메일 서버 등 인프라 전반의 다양한 데몬에서 참조하므로, 라이브러리 업데이트 이후 관련 네트워크 서비스를 재시작하거나 운영 체제를 재부팅할 것을 권장합니다.

5. 참고 자료

반응형