개요.
OpenSSL에서 경계를 벗어난 읽기 취약점(CVE-2026-28386)과 NULL 포인터 역참조 취약점(CVE-2026-28388, CVE-2026-28389, CVE-2026-28390)이 공개되었다.
영향을 받는 제품은 OpenSSL 라이브러리를 사용하는 시스템과 애플리케이션이다.
취약점 요약.
- CVE-2026-28386: 경계를 벗어난 읽기 취약점이다.
- CVE-2026-28388: NULL 포인터 역참조 취약점이다.
- CVE-2026-28389: NULL 포인터 역참조 취약점이다.
- CVE-2026-28390: NULL 포인터 역참조 취약점이다.
영향 버전.
- 영향받는 주요 버전은 OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0, 1.1.1, 1.0.2 계열이다.
패치된 버전.
- CVE-2026-28386에 대한 수정은 OpenSSL 3.6.2에서 적용되었다.
- CVE-2026-28388, CVE-2026-28389, CVE-2026-28390에 대한 수정은 OpenSSL 3.6.2, 3.5.6, 3.4.5, 3.3.7, 3.0.20, 1.1.1zg, 1.0.2zp 등 관련 패치 버전에서 제공되었다.
영향 및 권고사항.
- 해당 취약점은 잠재적으로 정보 노출 또는 서비스 중단(응용프로그램 충돌)을 초래할 수 있다.
- 권장 조치는 영향을 받는 배포판과 애플리케이션에서 공개된 패치 버전으로 교체하는 것이다.
참고자료.
- OpenSSL 보안 권고 [7th April 2026]. https://openssl-library.org/news/secadv/20260407.txt.