OpenSSL 1.1.1~1.1.1j 버젼들에서, 악의적인 사용자가 해당 버젼을 사용하는 서버에 장애를 유발할 수 있습니다. 간단히 서비스를 다운시킬 수 있는 것입니다.
구형 라이브러리를 사용하고 있는 아파치를 대상으로 실험을 해 보았습니다. 아래와 같이 worker에서 바로 SegFault가 발생해요.
[Tue Mar 30 23:16:30.385180 2021] [ssl:error] [pid 20279:tid 140060060911360] [client 172.16.202.30:33310] AH02042: rejecting client initiated renegotiation[Tue Mar 30 23:16:30.854908 2021] [core:notice] [pid 20276:tid 140060356237120] AH00052: child pid 20279 exit signal Segmentation fault (11)
해당 취약점이 CVE-2021-3449에 발표되었으므로, OpenSSL 1.1.1j 라이브러리 이하를 이용한 production 사이트를 운영하시는 분들은 1.1.1k를 사용하도록 업데이트를 하시는 것을 권합니다.
An OpenSSL TLS server may crash if sent a maliciously crafted renegotiation ClientHello message from a client.
OpenSSL 1.0.2 is not impacted by this issue. Fixed in OpenSSL 1.1.1k (Affected 1.1.1-1.1.1j).