포럼

  2. Support
  3. 포럼

Open SSL 취약점 발건... 방어

2014.04.11 17:48

고구마군

안녕하세요. 고구마군 입니다.


한국인터넷진흥원(KISA)은 웹브라우저와 서버 간의 통신을 암호화하는 오픈소스 라이브러리인 '오픈(Open)SSL'에 심각한 취약점이 발견돼 즉각적인 업데이트가 필요하다고 10일 밝혔다.


이 취약점은 허트블리드(HeartBleed)로 명명되고 있으며 해당 취약점을 악용할 경우 웹서버로 전송된 개인정보, 비밀번호 등은 물론 웹서버의 암호키도 탈취될 수 있다.


공격자는 취약점이 발견된 오픈SSL 1.0.1~1.0.1f 및 오픈SSL 1.0.2-베타, 1.0.2-베타1 버전이 설치된 서버에서 인증 정보 등이 저장된 64킬로바이트 크기의 메모리 데이터를 외부에서 아무런 제한없이 탈취할 수 있다.


해당 취약점은 허트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생했으며, 2012년 3월부터 오픈SSL 1.0.1 버전에 구현됐다.

...

...

( 관련 글 : http://news1.kr/articles/1627579 )


4/10 뉴스에 OpenSSL HeartBleed 라는 취약점이 발견 되었다고 합니다.

관련 하여 글을 찾아 보다 Centos 기준으로 패치 과정을 알게 되어 글 올립니다.


해당 기사에서는 OpenSSL 1.0.1g 버전을 설치 해야 한다 했으나 해외에서의 글을 확인해 보니

자신의 버전에 패치가 업데이트 되어 해당 패치 버전을 설치 해도 된다고 하였습니다.


패치 방법 나갑니다. ^^


제약 사항 :  

1. root 로 작업이 가능한 장비여야 함.

2. Centos / Fedora 서버 

3. yum 으로 openssl 설치 하신분만 가능 함 ^^;


[패치 방법]

1. 자신의 openssl 버전 확인인

[root@woorimail ~]# yum list | grep ssl

openssl.x86_64          1.0.1e-16.el6_5.4

openssl-devel.x86_64    1.0.1e-16.el6_5.4

openssl098e.x86_64      0.9.8e-17.el6.centos.2


2. yum  저장소에 패치 버전이 있는지 확인.

[root@woorimail ~]# yum list | grep updates | grep ssl

openssl.x86_64                           1.0.1e-16.el6_5.7              updates

openssl-devel.x86_64                     1.0.1e-16.el6_5.7              updates

krb5-pkinit-openssl.x86_64               1.10.3-15.el6_5.1              updates

mod_ssl.x86_64                           1:2.2.15-30.el6.centos         updates

openssl.i686                             1.0.1e-16.el6_5.7              updates

openssl-devel.i686                       1.0.1e-16.el6_5.7              updates

openssl-perl.x86_64                      1.0.1e-16.el6_5.7              updates

openssl-static.x86_64                    1.0.1e-16.el6_5.7              updates


3. 패치 설치

[root@woorimail ~]# yum update openssl-devel.x86_64 openssl.x86_64

...

...

  Updating   : openssl-1.0.1e-16.el6_5.7.x86_64                                                                                                        1/4

  Updating   : openssl-devel-1.0.1e-16.el6_5.7.x86_64                                                                                                  2/4

  Cleanup    : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                  3/4

  Cleanup    : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                        4/4

  Verifying  : openssl-1.0.1e-16.el6_5.7.x86_64                                                                                                        1/4

  Verifying  : openssl-devel-1.0.1e-16.el6_5.7.x86_64                                                                                                  2/4

  Verifying  : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                        3/4

  Verifying  : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                  4/4


Updated:

  openssl-devel.x86_64 0:1.0.1e-16.el6_5.7


Dependency Updated:

  openssl.x86_64 0:1.0.1e-16.el6_5.7


Complete!

[root@woorimail ~]#


4. 패치 후 정상 처리 확인 ( @가 붙었나 안붙었나 ^^;; )

[root@woorimail ~]# yum list | grep updates | grep ssl

openssl.x86_64                           1.0.1e-16.el6_5.7              @updates

openssl-devel.x86_64                     1.0.1e-16.el6_5.7              @updates

krb5-pkinit-openssl.x86_64               1.10.3-15.el6_5.1              updates

mod_ssl.x86_64                           1:2.2.15-30.el6.centos         updates

openssl.i686                             1.0.1e-16.el6_5.7              updates

openssl-devel.i686                       1.0.1e-16.el6_5.7              updates

openssl-perl.x86_64                      1.0.1e-16.el6_5.7              updates

openssl-static.x86_64                    1.0.1e-16.el6_5.7              updates

[root@woorimail ~]#


5. openssl 라이브러리 반영을 위해 apache 재기동 또는 서버 리붓 


레드헷이나 기타 다른 버전의 OS는 모르겠습니다만 CentOS 6.5 에서는 패치가 나와 바로 적용 하였습니다.

참고 하여 적용 하세요.


오늘도 좋은 하루 되세요.

이 게시물을

======================================================================

WOORIMAIL.COM 기술지원

LINUX/UNIX 서버 베이스 C 개발자

PHP / XE 초심자 

두 아이 아빠 + 사랑하는 남편

======================================================================

좋아요(+1)
목록
글쓴이 제목 최종 글
2donggalbi Windows XP 지원 종료에 따른 IE8 지원여부 [16] 2014.04.13 by 2donggalbi
곰탕lol왕자 모바일 레이아웃 고르기가 참 힘드네요 [10] 2014.04.13 by 곰탕lol왕자
xe매니아 디도스는 막을 방법이 없나요? [9] 2020.03.14 by 도라미
zombiman 막강한 자료들이 줄줄이 배포 되고 있네요. [2] 2014.04.13 by teguh100
우리아기 XE 설치 할때 DB 선택 뭐로 하시나요? [9] 2014.04.13 by LI-NA
고구마군 Open SSL 취약점 발건... 방어 [6] 2014.04.12 by 고구마군
이동화309 xe에 대한 불만.. [14] 2014.04.12 by KrteamENT
마이웹 XE git에 소스 edit기능을 클릭하니 소스 수정을 하는 화면이 나오던데요. [4] 2014.04.12 by 마이웹
RedLan EZMember Pre Release 배포 ... [3] 2014.04.11 by 숭숭군
KrteamENT XDT가 닫혔네요..ㄷㄷ [19] 2014.04.11 by 2donggalbi
SOFTA 파워묵업 Power MockUP good story board! [광고가 아닙니다 ㅠ.ㅠ] [1] 2014.04.11 by 이니셔티브
최윤한 속도관련해서 조언좀 구합니다. [14] 2014.04.11 by 최윤한
김 기 상 조언부탁드려요. [2] 2014.04.11 by Double'U'
W.O 정말 만족스러운 CMS, XE [1] 2014.04.10 by 키스투엑스이
YJSoft Xzet 1.4.5.23-alpha4(XE 1.4.x 보안패치) 를 공개합니다. [2] 2014.04.10 by natura
StyleRoot 통합검색 확장모듈 자소 분해 + 검색어 하이라이트 구현 완료 [7] file 2014.04.10 by 루팡쿠팡
착한악마 와~~킴스큐....보니... [26] 2014.04.10 by 착한악마
AJKJ SSL을 대신할 Javascript/RSA/AES 아이디어 + 데모 + 미완성Addon [19] file 2014.04.10 by AJKJ
prologos DB를 mssql 사용시 한글 문제 [3] 2014.04.10 by prologos
YJSoft Github HowTo - 3. 웹 상에서 Pull Request [3] file 2014.05.05 by 키스투엑스이
태그 쓰기