1. 보안 취약점 정보
[취약점 내용] 1. 취약점 개요 - CVE ID: CVE-2026-34182 - CVSS 점수: 9.1 (CRITICAL) / OpenSSL - 게시일 : 06/15/2026 - 취약점 종류 : o OpenSSL에서 발생하는 Improper Validation of Integrity Check Value 취약점 - 취약점 유형 : o (CWE-354) 무결성 검사 값의 부적절한 검증 - 공격 패턴 : o 암호화 메시지 서비스(CMS) 처리가 AuthEnvelopedData 컨테이너의 암호 및 태그 길이 필드에 대한 입력 검증을 충분히 수행하지 못해 다양한 잠재적 해킹을 초래합니다.
2. 영향받는 제품 정보 - 벤더: OpenSSL - 제품: OpenSSL > 4.0.0 이상 4.0.1 미만 > 3.6.0 이상 3.6.3 미만 > 3.5.0 이상 3.5.7 미만 > 3.4.0 이상 3.4.6 미만 > 3.0.0 이상 3.0.21 미만
3. 취약점 상세 내용 - 이러한 취약점을 이용한 공격자는 특정 CMS 수신자에 대해 키 동등한 기능을 달성하거나 특정 메시지의 무결성 검증을 우회할 수 있습니다. - 공격받는 애플리케이션이 복호화 성공 또는 실패를 나타내는 어떤 표시를 공격자에게 응답하면, 공격자는 이를 오라클로 사용해 메시지 수신자에게 사용되는 CEK의 동등한 키 기능을 얻을 수 있습니다. - 공격자가 특정 AuthEnvelopedData 컨테이너의 AEAD 암호 태그 길이를 한 바이트로 줄여, 공격자가 CMS 복호화를 무차별 대입하여 CMS_decrypt()를 신뢰하는 애플리케이션에 대한 무결성 우회를 가능하게 합니다.
4. 조치 방법 - 업데이트: 영향받는 버전을 사용 중인 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고 - 해결 버전 OpenSSL > 4.0.1 > 3.6.3 > 3.5.7 > 3.4.6 > 3.0.21
5. 참고 정보 - 벤더 보안 공지 https://openssl-library.org/news/secadv/20260609.txt
- CVE 상세 정보 https://nvd.nist.gov/vuln/detail/CVE-2026-34182
|
2. 대상
- 설치 플랫폼: Linux, k8s, docker 환경의 Datadog Agent. Windows는 제외
- Datadog Agent 보안 취약 버전
ü 7.47.0~7.56.2
ü 7.63.1~7.79.2
ü 7.47.0 이하 버전은 OpenSSL 1.1.1 사용, 7.57.0~7.63.0 버전은 OpenSSL 3.3.X을 사용하나, 권고 버전(7.80.2)으로 업그레이드를 권장
- 참고(OpenSSL 버전을 직접 확인하시는 명령어 안내)
Linux: /opt/datadog-agent/embedded/bin/openssl version
3. 조치방법
Datadog Agent를 최신버전(7.80.2)으로 업그레이드를 합니다.
* (참고) Datadog Agent v7.80.2: OpenSSL 3.5.7 9 Jun 2026
- 업그레이드 프로세스
Agent가 다시 시작되는 동안 5~30초 정도의 다운타임이 발생할 수 있습니다.
전체 업그레이드 프로세스는 약 5분이 소요되며, 업그레이드 자체에 약 2분이 걸리고 나머지 시간은 안정성 모니터링에 사용됩니다.
업그레이드가 실패하면 에이전트는 자동으로 이전 버전으로 되돌아갑니다.
* 업그레이드 과정에서 구성 파일은 변경되지 않지만, 안정적 작업을 위해 구성 파일 백업을 권장드립니다.
참고링크: https://docs.datadoghq.com/ko/agent/fleet_automation/upgrade_agents/?utm_source=chatgpt.com#upgrade-process
(주의 사항) 구성파일 백업: datadog.yaml과 conf.d 전체 디렉터리 백업 필요
참고링크: https://docs.datadoghq.com/agent/configuration/agent-configuration-files/
* Datadog Agent 패키지에 포함되지 않은 Community Integration(e.g. PING Integration)은 재설치가 필요합니다. - 업그레이드 영향도
업그레이드 중 Datadog으로 모니터링 정보의 중단이 발생할 수 있습니다.
APM 서비스를 이용하는 경우 Datadog Agent 업그레이드 후 정상적으로 Trace 데이터 수집이 안될 수 있습니다.(특히 SSI(Single Step Instrumentation) 방식으로 APM을 설치한 경우)
수집 불가의 원인은 다양할 수 있으므로, 문제 발생 시 Support Portal을 통해 기술지원 요청부탁드립니다. - 업그레이드 방법
업그레이드 방법은 설치(Installation) 방법과 동일합니다.- Linux
- Integrations > Fleet Automation > Install Agents 메뉴에서 제공하는 방식으로 설치(업그레이드)하는 경우 버전 선택 불필요
- 폐쇄망에서 Agent를 업그레이드하는 경우 아래 사이트에서 v7.80.2 버전 선택
l RedHat(CentOS) 계열: https://yum.datadoghq.com/stable/7/x86_64/
l Debian(Ubuntu) 계열: https://apt.datadoghq.com/pool/d/da/
* RedHat 계열의 경우 금번 패키지는 https://s3.amazonaws.com/yum.datadoghq.com/stable/7/x86_64/datadog-agent-7.80.2-1.x86_64.rpm 다운로드 후 설치 - 폐쇄망 설치의 경우 아래 링크에서 Datadog Agent 설치 안내를 참고해서 진행합니다.
참고링크: https://support.skax.co.kr/ko/support/solutions/articles/42000106421--datadog-agent-install-uninstall
- K8S
- Datadog operator를 사용하는 경우 spec.override.(nodeAgent/clusterAgent).image.tag에 ‘7.80.2’ 지정
참고링크: https://docs.datadoghq.com/containers/datadog_operator/config#override-options
l 설정 예시spec: override: nodeAgent: image: name: agent tag: "7.80.2" clusterAgent: image: name: cluster-agent tag: "7.80.2" - Helm Chart를 사용하는 경우 (agents/clusterAgent).image.tag에 ‘7.80.2’ 지정
l 설정 예시agents: image: name: agent tag: “7.80.2” clusterAgent: image: name: cluster-agent tag: “7.80.2” - 사설 Repository를 사용하는 경우 Public Registry에서 7.80.2(latest) tag된 이미지를 가져와서 배포 필요
- Datadog operator를 사용하는 경우 spec.override.(nodeAgent/clusterAgent).image.tag에 ‘7.80.2’ 지정
- Linux
내부적으로 버전 별 OpenSSL 버전(Linux: /opt/datadog-agent/embedded/bin/openssl version) 확인하신 후 보안 조치를 진행하시길 권고드립니다.
관련한 추가 문의가 있거나 Agent upgrade 관련 문의가 있으신 경우, Support portal 티켓으로 문의 바랍니다.
온라인상담
문의하기