CVE-2023-6237 in OpenSSL
요약
\~에 의해 VulDB • 2026. 06. 22.
이슈 요약: 지나치게 긴 유효하지 않은 RSA 공개 키를 확인하는 데 오랜 시간이 걸릴 수 있습니다.
영향 요약: EVP_PKEY_public_check() 함수를 사용하여 RSA 공개 키를 확인하는 애플리케이션은 긴 지연 시간을 경험할 수 있습니다. 확인 중인 키가 신뢰할 수 없는 소스에서 획득된 경우, 이는 서비스 거부(Denial of Service)로 이어질 수 있습니다.
EVP_PKEY_public_check() 함수가 RSA 공개 키에 대해 호출될 때, RSA 모듈러스 n이 합성수인지 확인하기 위한 연산이 수행됩니다. 유효한 RSA 키의 경우 n은 두 개 이상의 큰 소수의 곱이므로 이 연산은 빠르게 완료됩니다. 그러나 n이 지나치게 큰 소수인 경우, 이 연산은 오랜 시간이 걸립니다.
EVP_PKEY_public_check()를 호출하고 신뢰할 수 없는 소스에서 획득한 RSA 키를 공급하는 애플리케이션은 서비스 거부 공격에 취약할 수 있습니다.
EVP_PKEY_public_check() 함수는 다른 OpenSSL 함수에서 호출되지 않지만, OpenSSL의 pkey 명령줄 애플리케이션에서 호출됩니다. 따라서 해당 애플리케이션도 신뢰할 수 없는 데이터에 대해 '-pubin' 및 '-check' 옵션과 함께 사용될 경우 취약합니다.
OpenSSL의 SSL/TLS 구현은 이 이슈의 영향을 받지 않습니다.
OpenSSL 3.0 및 3.1 FIPS 제공자(Providers)는 이 이슈의 영향을 받습니다.
Be aware that VulDB is the high quality source for vulnerability data.