포럼
Open SSL 취약점 발건... 방어
2014.04.11 17:48
안녕하세요. 고구마군 입니다.
한국인터넷진흥원(KISA)은 웹브라우저와 서버 간의 통신을 암호화하는 오픈소스 라이브러리인 '오픈(Open)SSL'에 심각한 취약점이 발견돼 즉각적인 업데이트가 필요하다고 10일 밝혔다. 이 취약점은 허트블리드(HeartBleed)로 명명되고 있으며 해당 취약점을 악용할 경우 웹서버로 전송된 개인정보, 비밀번호 등은 물론 웹서버의 암호키도 탈취될 수 있다. 공격자는 취약점이 발견된 오픈SSL 1.0.1~1.0.1f 및 오픈SSL 1.0.2-베타, 1.0.2-베타1 버전이 설치된 서버에서 인증 정보 등이 저장된 64킬로바이트 크기의 메모리 데이터를 외부에서 아무런 제한없이 탈취할 수 있다. 해당 취약점은 허트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생했으며, 2012년 3월부터 오픈SSL 1.0.1 버전에 구현됐다. ... ... |
( 관련 글 : http://news1.kr/articles/1627579 )
4/10 뉴스에 OpenSSL HeartBleed 라는 취약점이 발견 되었다고 합니다.
관련 하여 글을 찾아 보다 Centos 기준으로 패치 과정을 알게 되어 글 올립니다.
해당 기사에서는 OpenSSL 1.0.1g 버전을 설치 해야 한다 했으나 해외에서의 글을 확인해 보니
자신의 버전에 패치가 업데이트 되어 해당 패치 버전을 설치 해도 된다고 하였습니다.
패치 방법 나갑니다. ^^
제약 사항 :
1. root 로 작업이 가능한 장비여야 함.
2. Centos / Fedora 서버
3. yum 으로 openssl 설치 하신분만 가능 함 ^^;
[패치 방법]
1. 자신의 openssl 버전 확인인
[root@woorimail ~]# yum list | grep ssl
openssl.x86_64 1.0.1e-16.el6_5.4
openssl-devel.x86_64 1.0.1e-16.el6_5.4
openssl098e.x86_64 0.9.8e-17.el6.centos.2
2. yum 저장소에 패치 버전이 있는지 확인.
[root@woorimail ~]# yum list | grep updates | grep ssl
openssl.x86_64 1.0.1e-16.el6_5.7 updates
openssl-devel.x86_64 1.0.1e-16.el6_5.7 updates
krb5-pkinit-openssl.x86_64 1.10.3-15.el6_5.1 updates
mod_ssl.x86_64 1:2.2.15-30.el6.centos updates
openssl.i686 1.0.1e-16.el6_5.7 updates
openssl-devel.i686 1.0.1e-16.el6_5.7 updates
openssl-perl.x86_64 1.0.1e-16.el6_5.7 updates
openssl-static.x86_64 1.0.1e-16.el6_5.7 updates
3. 패치 설치
[root@woorimail ~]# yum update openssl-devel.x86_64 openssl.x86_64
...
...
Updating : openssl-1.0.1e-16.el6_5.7.x86_64 1/4
Updating : openssl-devel-1.0.1e-16.el6_5.7.x86_64 2/4
Cleanup : openssl-devel-1.0.1e-16.el6_5.4.x86_64 3/4
Cleanup : openssl-1.0.1e-16.el6_5.4.x86_64 4/4
Verifying : openssl-1.0.1e-16.el6_5.7.x86_64 1/4
Verifying : openssl-devel-1.0.1e-16.el6_5.7.x86_64 2/4
Verifying : openssl-1.0.1e-16.el6_5.4.x86_64 3/4
Verifying : openssl-devel-1.0.1e-16.el6_5.4.x86_64 4/4
Updated:
openssl-devel.x86_64 0:1.0.1e-16.el6_5.7
Dependency Updated:
openssl.x86_64 0:1.0.1e-16.el6_5.7
Complete!
[root@woorimail ~]#
4. 패치 후 정상 처리 확인 ( @가 붙었나 안붙었나 ^^;; )
[root@woorimail ~]# yum list | grep updates | grep ssl
openssl.x86_64 1.0.1e-16.el6_5.7 @updates
openssl-devel.x86_64 1.0.1e-16.el6_5.7 @updates
krb5-pkinit-openssl.x86_64 1.10.3-15.el6_5.1 updates
mod_ssl.x86_64 1:2.2.15-30.el6.centos updates
openssl.i686 1.0.1e-16.el6_5.7 updates
openssl-devel.i686 1.0.1e-16.el6_5.7 updates
openssl-perl.x86_64 1.0.1e-16.el6_5.7 updates
openssl-static.x86_64 1.0.1e-16.el6_5.7 updates
[root@woorimail ~]#
5. openssl 라이브러리 반영을 위해 apache 재기동 또는 서버 리붓
레드헷이나 기타 다른 버전의 OS는 모르겠습니다만 CentOS 6.5 에서는 패치가 나와 바로 적용 하였습니다.
참고 하여 적용 하세요.
오늘도 좋은 하루 되세요.