CVE-2026-32144 in OTP정보

요약

\~에 의해 VulDB • 2026. 05. 30.

Erlang OTP의 public_key(pubkey_ocsp 모듈)에서 부적절한 인증서 검증 취약점이 발견되어, 서명 검증 누락으로 인해 OCSP 지정 응답자(authorized responder) 권한 우회가 가능합니다.

public_key:pkix_ocsp_validate/5 함수 내 OCSP 응답 검증은 CA가 지정한 응답자 인증서가 발급 CA에 의해 암호학적으로 서명되었는지 확인하지 않습니다. 대신 응답자 인증서의 발급자 이름이 CA의 피발급자(subject) 이름과 일치하는지, 그리고 인증서에 OCSPSigning 확장 키 사용(extended key usage)이 설정되어 있는지 여부만 확인합니다. 공격자가 OCSP 응답을 가로채거나 제어할 수 있는 경우, 일치하는 발급자 이름과 OCSPSigning EKU를 가진 자체 서명(self-signed) 인증서를 생성하여 폐기된 인증서를 유효하다고 표시하는 OCSP 응답을 위조할 수 있습니다.

이 취약점은 OCSP stapling을 사용하는 SSL/TLS 클라이언트에 영향을 미치며, 이로 인해 폐기된 인증서를 가진 서버와의 연결을 수락하여 민감한 데이터를 침해된 서버로 전송할 위험이 있습니다. public_key:pkix_ocsp_validate/5 API를 직접 사용하는 애플리케이션도 영향을 받으며, 영향 정도는 사용 컨텍스트에 따라 다릅니다.

이 취약점은 lib/public_key/src/pubkey_ocsp.erl 프로그램 파일 및 pubkey_ocsp:is_authorized_responder/3 프로그램 루틴과 관련이 있습니다.

이 문제는 OTP 27.0부터 OTP 28.4.2 및 27.3.4.10까지, 그리고 이에 대응하는 public_key 1.16부터 1.20.3 및 1.17.1.2까지, ssl 11.2부터 11.5.4 및 11.2.12.7까지의 OTP 버전에서 영향을 받습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

EEF

예약하다

2026. 03. 10.

모더레이션

수락

항목

VDB-355731

EPSS

0.00200

출처

Might our Artificial Intelligence support you?

Check our Alexa App!