포럼
Open SSL 취약점 발건... 방어
2014.04.11 17:48
안녕하세요. 고구마군 입니다.
한국인터넷진흥원(KISA)은 웹브라우저와 서버 간의 통신을 암호화하는 오픈소스 라이브러리인 '오픈(Open)SSL'에 심각한 취약점이 발견돼 즉각적인 업데이트가 필요하다고 10일 밝혔다. 이 취약점은 허트블리드(HeartBleed)로 명명되고 있으며 해당 취약점을 악용할 경우 웹서버로 전송된 개인정보, 비밀번호 등은 물론 웹서버의 암호키도 탈취될 수 있다. 공격자는 취약점이 발견된 오픈SSL 1.0.1~1.0.1f 및 오픈SSL 1.0.2-베타, 1.0.2-베타1 버전이 설치된 서버에서 인증 정보 등이 저장된 64킬로바이트 크기의 메모리 데이터를 외부에서 아무런 제한없이 탈취할 수 있다. 해당 취약점은 허트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생했으며, 2012년 3월부터 오픈SSL 1.0.1 버전에 구현됐다. ... ... |
( 관련 글 : http://news1.kr/articles/1627579 )
4/10 뉴스에 OpenSSL HeartBleed 라는 취약점이 발견 되었다고 합니다.
관련 하여 글을 찾아 보다 Centos 기준으로 패치 과정을 알게 되어 글 올립니다.
해당 기사에서는 OpenSSL 1.0.1g 버전을 설치 해야 한다 했으나 해외에서의 글을 확인해 보니
자신의 버전에 패치가 업데이트 되어 해당 패치 버전을 설치 해도 된다고 하였습니다.
패치 방법 나갑니다. ^^
제약 사항 :
1. root 로 작업이 가능한 장비여야 함.
2. Centos / Fedora 서버
3. yum 으로 openssl 설치 하신분만 가능 함 ^^;
[패치 방법]
1. 자신의 openssl 버전 확인인
[root@woorimail ~]# yum list | grep ssl
openssl.x86_64 1.0.1e-16.el6_5.4
openssl-devel.x86_64 1.0.1e-16.el6_5.4
openssl098e.x86_64 0.9.8e-17.el6.centos.2
2. yum 저장소에 패치 버전이 있는지 확인.
[root@woorimail ~]# yum list | grep updates | grep ssl
openssl.x86_64 1.0.1e-16.el6_5.7 updates
openssl-devel.x86_64 1.0.1e-16.el6_5.7 updates
krb5-pkinit-openssl.x86_64 1.10.3-15.el6_5.1 updates
mod_ssl.x86_64 1:2.2.15-30.el6.centos updates
openssl.i686 1.0.1e-16.el6_5.7 updates
openssl-devel.i686 1.0.1e-16.el6_5.7 updates
openssl-perl.x86_64 1.0.1e-16.el6_5.7 updates
openssl-static.x86_64 1.0.1e-16.el6_5.7 updates
3. 패치 설치
[root@woorimail ~]# yum update openssl-devel.x86_64 openssl.x86_64
...
...
Updating : openssl-1.0.1e-16.el6_5.7.x86_64 1/4
Updating : openssl-devel-1.0.1e-16.el6_5.7.x86_64 2/4
Cleanup : openssl-devel-1.0.1e-16.el6_5.4.x86_64 3/4
Cleanup : openssl-1.0.1e-16.el6_5.4.x86_64 4/4
Verifying : openssl-1.0.1e-16.el6_5.7.x86_64 1/4
Verifying : openssl-devel-1.0.1e-16.el6_5.7.x86_64 2/4
Verifying : openssl-1.0.1e-16.el6_5.4.x86_64 3/4
Verifying : openssl-devel-1.0.1e-16.el6_5.4.x86_64 4/4
Updated:
openssl-devel.x86_64 0:1.0.1e-16.el6_5.7
Dependency Updated:
openssl.x86_64 0:1.0.1e-16.el6_5.7
Complete!
[root@woorimail ~]#
4. 패치 후 정상 처리 확인 ( @가 붙었나 안붙었나 ^^;; )
[root@woorimail ~]# yum list | grep updates | grep ssl
openssl.x86_64 1.0.1e-16.el6_5.7 @updates
openssl-devel.x86_64 1.0.1e-16.el6_5.7 @updates
krb5-pkinit-openssl.x86_64 1.10.3-15.el6_5.1 updates
mod_ssl.x86_64 1:2.2.15-30.el6.centos updates
openssl.i686 1.0.1e-16.el6_5.7 updates
openssl-devel.i686 1.0.1e-16.el6_5.7 updates
openssl-perl.x86_64 1.0.1e-16.el6_5.7 updates
openssl-static.x86_64 1.0.1e-16.el6_5.7 updates
[root@woorimail ~]#
5. openssl 라이브러리 반영을 위해 apache 재기동 또는 서버 리붓
레드헷이나 기타 다른 버전의 OS는 모르겠습니다만 CentOS 6.5 에서는 패치가 나와 바로 적용 하였습니다.
참고 하여 적용 하세요.
오늘도 좋은 하루 되세요.
댓글 6
-
도라미
2014.04.11 20:16
-
DynamicLaser
2014.04.11 21:10
현재 레드햇쪽에는 긴급배포가 된걸로 알지만, CentOS쪽에는 배포가 되지않은걸로 아는데.. 배포된건가요?
이번에 보안패치가 1.0.1f버젼대로 알고있구요, http://filippo.io/Heartbleed/ 여기에서 체크하면 아직도 취약점이 있는걸로 나오거든요.
-
고구마군
2014.04.12 08:20
https://rhn.redhat.com/errata/RHSA-2014-0376.html
DynamicLaser님 말씀대로 위 레드헷 사이트에서 보시면 openssl-1.0.1e-16.el6_5.7 이 버전이 최근 발생한 openssl 관련 패치라고 이야기 되고 있습니다.
제가 위에서 설치한 버전과 동일 합니다.
제가 update 한 repo가 공식 사이트 인지는 기억이 나지 않습니다만 정황상 Centos도 패치가 된 것으로 보여집니다. ^^
-
DynamicLaser
2014.04.12 15:40
제가 잘못알고있었나봐요, 알려주셔서 감사합니다! ^^
-
CONORY
2014.04.12 13:28
위 방법으로 업데이트후 재부팅해야 패치가 적용되는 듯합니다..
재부팅하지않으면 적용이 되지않는 걸로 나옵니다..
-
고구마군
2014.04.12 16:09
아.. 재부팅 하지 않아도 apache만 재기동 하면 됩니다.
추가 해 놓도록 하겠습니다.
감사합니다. ^^
우분투도 관련 패치가 나왔으니, 이글을 보는 분들은, 참고하길 바랍니다.
https://launchpad.net/openssl/+packages