CVE-2026-32144 in OTP
요약
\~에 의해 VulDB • 2026. 05. 30.
Erlang OTP의 public_key(pubkey_ocsp 모듈)에서 부적절한 인증서 검증 취약점이 발견되어, 서명 검증 누락으로 인해 OCSP 지정 응답자(authorized responder) 권한 우회가 가능합니다.
public_key:pkix_ocsp_validate/5 함수 내 OCSP 응답 검증은 CA가 지정한 응답자 인증서가 발급 CA에 의해 암호학적으로 서명되었는지 확인하지 않습니다. 대신 응답자 인증서의 발급자 이름이 CA의 피발급자(subject) 이름과 일치하는지, 그리고 인증서에 OCSPSigning 확장 키 사용(extended key usage)이 설정되어 있는지 여부만 확인합니다. 공격자가 OCSP 응답을 가로채거나 제어할 수 있는 경우, 일치하는 발급자 이름과 OCSPSigning EKU를 가진 자체 서명(self-signed) 인증서를 생성하여 폐기된 인증서를 유효하다고 표시하는 OCSP 응답을 위조할 수 있습니다.
이 취약점은 OCSP stapling을 사용하는 SSL/TLS 클라이언트에 영향을 미치며, 이로 인해 폐기된 인증서를 가진 서버와의 연결을 수락하여 민감한 데이터를 침해된 서버로 전송할 위험이 있습니다. public_key:pkix_ocsp_validate/5 API를 직접 사용하는 애플리케이션도 영향을 받으며, 영향 정도는 사용 컨텍스트에 따라 다릅니다.
이 취약점은 lib/public_key/src/pubkey_ocsp.erl 프로그램 파일 및 pubkey_ocsp:is_authorized_responder/3 프로그램 루틴과 관련이 있습니다.
이 문제는 OTP 27.0부터 OTP 28.4.2 및 27.3.4.10까지, 그리고 이에 대응하는 public_key 1.16부터 1.20.3 및 1.17.1.2까지, ssl 11.2부터 11.5.4 및 11.2.12.7까지의 OTP 버전에서 영향을 받습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.