반응형
2014년 4월 9일 오픈SSL(OpenSSL)에 심각한 취약점이 발견되었다.
이는 하트블리드(HeartBleed)로 명명되었으며, CVE-2014-0160 넘버링을 갖게 되었다.
공격자는 취약 한 OpenSSL 버전이 설치 된 서버에서 인증정보등이 저장 된 64Kbyte 크기의 메모리 데이터를 외부에서
탈취 할 수 있다고 한다. 해당 취약점은 하트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생하였다고 한다.
탈취 할 수 있다고 한다. 해당 취약점은 하트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생하였다고 한다.
오픈SSL(OpenSSL)란!?
OpenSSL은 네트워크를 통한 데이터 통신에 쓰이는 프로토콜인 TLS와 SSL의 오픈 소스 구현판이다. C 언어로 작성되어 있는 중심 라이브러리 안에는, 기본적인 암호화 기능 및 여러 유틸리티 함수들이 구현되어 있다.
출처 : http://ko.wikipedia.org/wiki/OpenSSL
□ 관련 내용
취약한 버전의 OpenSSL 사용자는 해킹으로 인해 개인정보, 비밀번호, 웹서버 암호키 유출 등의 피해를 입을 수 있으므로
해결방안에 따라 최신버전으로 업데이트 권고합니다.
[영향을 받는 소프트웨어 및 업데이트 버전]
■ 영향 받는 소프트웨어
OpenSSL 1.0.1 ~ OpenSSL 1.0.1f → OpenSSL 1.0.1g 버전으로 업그레이드(http://www.openssl.org/source/)
OpenSSL 1.0.2-beta, OpenSSL 1.0.2-beta1 → OpenSSL 1.0.1g 버전으로 업그레이드(http://www.openssl.org/source/)
■ 영향 받지 않는 소프트웨어
OpenSSL 1.0.0 대 버전
OpenSSL 0.9.x 대 버전
※ 업데이트가 어려운 경우 "-DOPENSSL_NO_HEARTBEATS" 옵션 설정 후 재컴파일하여 하트비트를 비활성화 시키면 된다.
'취약점소식' 카테고리의 다른 글
곰플레이어(GOM Player), 임의코드실행 취약점 보안 업데이트 권고 (2014-0-31) (0) | 2014.08.01 |
---|---|
안랩(AhnLab), V3 Lite 원격코드 실행 취약점 보안 업데이트 권고 (2014-07-30) (0) | 2014.07.31 |
[MS] Microsoft Word 원격코드 실행 신규 취약점 주의 권고(0-Day : CVE-2014-1761) + Fix it 공개 (0) | 2014.03.26 |
알마인드(ALMind), 임의코드 실행 취약점 보안 업데이트 (2014-03-13) (0) | 2014.03.17 |
알씨(ALSee), 임의코드 실행 취약점 보안 업데이트 (2014-03-11) (0) | 2014.03.17 |
댓글