OpenSSL 취약점(HeartBleed) 업데이트 권고

한국인터넷진흥원(KISA)은 웹브라우저와 서버 간의 통신을 암호화하는 오픈소스 라이브러리인 ‘OpenSSL’에 심각한 취약점이 발견되어 즉각적인 업데이트가 필요하다고 밝혔습니다.

이 취약점은 허트블리드(HeartBleed)로 명명되고 있으며, 해당 취약점을 악용할 경우 웹서버로 전송된 개인정보, 비밀번호 등은 물론 웹서버의 암호키도 탈취될 수 있습니다.

해당 취약점을 해결하기 위해서는 OpenSSL 공식홈페이지(www.openssl.org)에 접속하여, 지난 4월 7일에 배포된 OpenSSL 1.0.1g 버전으로 업데이트를 해야 합니다.

○취약점 내용

OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이 검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점

○영향 받는 버전

OpenSSL 1.0.1 ~ OpenSSL 1.0.1f

OpenSSL 1.0.2-beta, OpenSSL 1.0.2-beta1

○영향 받지 않는 소프트웨어

OpenSSL 0.9.x 대 버전

OpenSSL 1.0.0 대 버전

OpenSSL 1.0.1g

<취약점 확인방법>

<해결방법>

OpenSSL 버전을 1.0.1g 버전으로 업데이트

서비스 운영환경에 따른 소프트웨어 의존성 문제를 고려하여 업데이트 방법을 선택하고 반드시 먼저 테스트 수행

O CentOS 업데이트 방법

O Fedora 업데이트 방법

O Ubuntu 업데이트 방법

<참고사이트>

O KISA(한국인터넷진흥원)참고 사이트

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=20884

O 하트블리드

http://heartbleed.com