본문 바로가기
취약점소식

오픈SSL(OpenSSL), OpenSSL 라이브러리 취약점 보안 업데이트 권고 (2014-04-09)

by 잡다한 처리 2014. 4. 14.
반응형


2014년 4월 9일 오픈SSL(OpenSSL)에 심각한 취약점이 발견되었다.
이는 하트블리드(HeartBleed)로 명명되었으며, CVE-2014-0160 넘버링을 갖게 되었다.

공격자는 취약 한 OpenSSL 버전이 설치 된 서버에서 인증정보등이 저장 된 64Kbyte 크기의 메모리 데이터를 외부에서
탈취 할 수 있다고 한다. 
해당 취약점은 하트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생하였다고 한다.

오픈SSL(OpenSSL)란!?

OpenSSL은 네트워크를 통한 데이터 통신에 쓰이는 프로토콜인 TLS와 SSL의 오픈 소스 구현판이다. C 언어로 작성되어 있는 중심 라이브러리 안에는, 기본적인 암호화 기능 및 여러 유틸리티 함수들이 구현되어 있다.

출처 : http://ko.wikipedia.org/wiki/OpenSSL


□ 관련 내용

취약한 버전의 OpenSSL 사용자는 해킹으로 인해 개인정보, 비밀번호, 웹서버 암호키 유출 등의 피해를 입을 수 있으므로
해결방안에 따라 최신버전으로 업데이트 권고합니다.

[영향을 받는 소프트웨어 및 업데이트 버전]

■ 영향 받는 소프트웨어
OpenSSL 1.0.1 ~ OpenSSL 1.0.1f  OpenSSL 1.0.1g 버전으로 업그레이드(http://www.openssl.org/source/)
OpenSSL 1.0.2-beta, OpenSSL 1.0.2-beta1  OpenSSL 1.0.1g 버전으로 업그레이드(http://www.openssl.org/source/)
 
■ 영향 받지 않는 소프트웨어
OpenSSL 1.0.0 대 버전
OpenSSL 0.9.x 대 버전 

※ 업데이트가 어려운 경우 "-DOPENSSL_NO_HEARTBEATS" 옵션 설정 후 재컴파일하여 하트비트를 비활성화 시키면 된다.

댓글