포럼

  2. Support
  3. 포럼

Open SSL 취약점 발건... 방어

2014.04.11 17:48

고구마군

안녕하세요. 고구마군 입니다.


한국인터넷진흥원(KISA)은 웹브라우저와 서버 간의 통신을 암호화하는 오픈소스 라이브러리인 '오픈(Open)SSL'에 심각한 취약점이 발견돼 즉각적인 업데이트가 필요하다고 10일 밝혔다.


이 취약점은 허트블리드(HeartBleed)로 명명되고 있으며 해당 취약점을 악용할 경우 웹서버로 전송된 개인정보, 비밀번호 등은 물론 웹서버의 암호키도 탈취될 수 있다.


공격자는 취약점이 발견된 오픈SSL 1.0.1~1.0.1f 및 오픈SSL 1.0.2-베타, 1.0.2-베타1 버전이 설치된 서버에서 인증 정보 등이 저장된 64킬로바이트 크기의 메모리 데이터를 외부에서 아무런 제한없이 탈취할 수 있다.


해당 취약점은 허트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생했으며, 2012년 3월부터 오픈SSL 1.0.1 버전에 구현됐다.

...

...

( 관련 글 : http://news1.kr/articles/1627579 )


4/10 뉴스에 OpenSSL HeartBleed 라는 취약점이 발견 되었다고 합니다.

관련 하여 글을 찾아 보다 Centos 기준으로 패치 과정을 알게 되어 글 올립니다.


해당 기사에서는 OpenSSL 1.0.1g 버전을 설치 해야 한다 했으나 해외에서의 글을 확인해 보니

자신의 버전에 패치가 업데이트 되어 해당 패치 버전을 설치 해도 된다고 하였습니다.


패치 방법 나갑니다. ^^


제약 사항 :  

1. root 로 작업이 가능한 장비여야 함.

2. Centos / Fedora 서버 

3. yum 으로 openssl 설치 하신분만 가능 함 ^^;


[패치 방법]

1. 자신의 openssl 버전 확인인

[root@woorimail ~]# yum list | grep ssl

openssl.x86_64          1.0.1e-16.el6_5.4

openssl-devel.x86_64    1.0.1e-16.el6_5.4

openssl098e.x86_64      0.9.8e-17.el6.centos.2


2. yum  저장소에 패치 버전이 있는지 확인.

[root@woorimail ~]# yum list | grep updates | grep ssl

openssl.x86_64                           1.0.1e-16.el6_5.7              updates

openssl-devel.x86_64                     1.0.1e-16.el6_5.7              updates

krb5-pkinit-openssl.x86_64               1.10.3-15.el6_5.1              updates

mod_ssl.x86_64                           1:2.2.15-30.el6.centos         updates

openssl.i686                             1.0.1e-16.el6_5.7              updates

openssl-devel.i686                       1.0.1e-16.el6_5.7              updates

openssl-perl.x86_64                      1.0.1e-16.el6_5.7              updates

openssl-static.x86_64                    1.0.1e-16.el6_5.7              updates


3. 패치 설치

[root@woorimail ~]# yum update openssl-devel.x86_64 openssl.x86_64

...

...

  Updating   : openssl-1.0.1e-16.el6_5.7.x86_64                                                                                                        1/4

  Updating   : openssl-devel-1.0.1e-16.el6_5.7.x86_64                                                                                                  2/4

  Cleanup    : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                  3/4

  Cleanup    : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                        4/4

  Verifying  : openssl-1.0.1e-16.el6_5.7.x86_64                                                                                                        1/4

  Verifying  : openssl-devel-1.0.1e-16.el6_5.7.x86_64                                                                                                  2/4

  Verifying  : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                        3/4

  Verifying  : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                  4/4


Updated:

  openssl-devel.x86_64 0:1.0.1e-16.el6_5.7


Dependency Updated:

  openssl.x86_64 0:1.0.1e-16.el6_5.7


Complete!

[root@woorimail ~]#


4. 패치 후 정상 처리 확인 ( @가 붙었나 안붙었나 ^^;; )

[root@woorimail ~]# yum list | grep updates | grep ssl

openssl.x86_64                           1.0.1e-16.el6_5.7              @updates

openssl-devel.x86_64                     1.0.1e-16.el6_5.7              @updates

krb5-pkinit-openssl.x86_64               1.10.3-15.el6_5.1              updates

mod_ssl.x86_64                           1:2.2.15-30.el6.centos         updates

openssl.i686                             1.0.1e-16.el6_5.7              updates

openssl-devel.i686                       1.0.1e-16.el6_5.7              updates

openssl-perl.x86_64                      1.0.1e-16.el6_5.7              updates

openssl-static.x86_64                    1.0.1e-16.el6_5.7              updates

[root@woorimail ~]#


5. openssl 라이브러리 반영을 위해 apache 재기동 또는 서버 리붓 


레드헷이나 기타 다른 버전의 OS는 모르겠습니다만 CentOS 6.5 에서는 패치가 나와 바로 적용 하였습니다.

참고 하여 적용 하세요.


오늘도 좋은 하루 되세요.

이 게시물을

======================================================================

WOORIMAIL.COM 기술지원

LINUX/UNIX 서버 베이스 C 개발자

PHP / XE 초심자 

두 아이 아빠 + 사랑하는 남편

======================================================================

좋아요(+1)
목록
글쓴이 제목 최종 글
이온디 XEED 튜닝해보실 분 계신가요? [8] file 2014.02.12 by 클로여
착한악마 contact writer번역 부탁드립니다. [11] file 2014.03.03 by Canto
라르게덴 XE DB 튜닝하기 [18] file 2014.02.10 by 영흥도우럭
시니시즘 프로모션 회원 제도 도입에 대한 견해입니다 [18] file 2014.01.21 by 착한악마
이즈야 Github Milestone? [1] file 2020.03.14 by 윈컴이
XE XE Hub - Open Office Day!! [8] file 2014.01.18 by K.Soma
IZUZero 레이아웃 설정에서 '헤더 스크립트' 부분이 2번 들어가는 것 같습니다. [3] file 2014.03.05 by V_L
Hammer XE 팀에 바라는 레이아웃의 업그레이드 [22] file 2020.03.14 by ForHanbi
misol 자동 언어 선택 애드온 번역 부탁드립니다. [18] file 2012.08.18 by rladydrl1
misol 요약 책갈피 애드온 번역 부탁드려도 될까요? [9] file 2011.01.08 by misol
XE 글로써 전달하는 것은 많은 오해를 불러 일으킬 수 있습니다. [3] 2014.04.14 by teguh100
adadzz cloudflare 사용중인데 IP 가 이상하게 잡히네요. [1] 2014.04.14 by DynamicLaser
AJKJ 브라우저마다 자바스크립트를 받아들이는게 미묘하게 다르네요. [2] 2014.04.14 by qwms
nado0124 1.7.4에서 '지도 글쓰기 도구(구글맵 사용)' 작동 잘 되나요? [3] 2014.04.13 by KrteamENT
2donggalbi Windows XP 지원 종료에 따른 IE8 지원여부 [16] 2014.04.13 by 2donggalbi
곰탕lol왕자 모바일 레이아웃 고르기가 참 힘드네요 [10] 2014.04.13 by 곰탕lol왕자
xe매니아 디도스는 막을 방법이 없나요? [9] 2020.03.14 by 도라미
zombiman 막강한 자료들이 줄줄이 배포 되고 있네요. [2] 2014.04.13 by teguh100
우리아기 XE 설치 할때 DB 선택 뭐로 하시나요? [9] 2014.04.13 by LI-NA
고구마군 Open SSL 취약점 발건... 방어 [6] 2014.04.12 by 고구마군
태그 쓰기