포럼

  2. Support
  3. 포럼

Open SSL 취약점 발건... 방어

2014.04.11 17:48

고구마군

안녕하세요. 고구마군 입니다.


한국인터넷진흥원(KISA)은 웹브라우저와 서버 간의 통신을 암호화하는 오픈소스 라이브러리인 '오픈(Open)SSL'에 심각한 취약점이 발견돼 즉각적인 업데이트가 필요하다고 10일 밝혔다.


이 취약점은 허트블리드(HeartBleed)로 명명되고 있으며 해당 취약점을 악용할 경우 웹서버로 전송된 개인정보, 비밀번호 등은 물론 웹서버의 암호키도 탈취될 수 있다.


공격자는 취약점이 발견된 오픈SSL 1.0.1~1.0.1f 및 오픈SSL 1.0.2-베타, 1.0.2-베타1 버전이 설치된 서버에서 인증 정보 등이 저장된 64킬로바이트 크기의 메모리 데이터를 외부에서 아무런 제한없이 탈취할 수 있다.


해당 취약점은 허트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생했으며, 2012년 3월부터 오픈SSL 1.0.1 버전에 구현됐다.

...

...

( 관련 글 : http://news1.kr/articles/1627579 )


4/10 뉴스에 OpenSSL HeartBleed 라는 취약점이 발견 되었다고 합니다.

관련 하여 글을 찾아 보다 Centos 기준으로 패치 과정을 알게 되어 글 올립니다.


해당 기사에서는 OpenSSL 1.0.1g 버전을 설치 해야 한다 했으나 해외에서의 글을 확인해 보니

자신의 버전에 패치가 업데이트 되어 해당 패치 버전을 설치 해도 된다고 하였습니다.


패치 방법 나갑니다. ^^


제약 사항 :  

1. root 로 작업이 가능한 장비여야 함.

2. Centos / Fedora 서버 

3. yum 으로 openssl 설치 하신분만 가능 함 ^^;


[패치 방법]

1. 자신의 openssl 버전 확인인

[root@woorimail ~]# yum list | grep ssl

openssl.x86_64          1.0.1e-16.el6_5.4

openssl-devel.x86_64    1.0.1e-16.el6_5.4

openssl098e.x86_64      0.9.8e-17.el6.centos.2


2. yum  저장소에 패치 버전이 있는지 확인.

[root@woorimail ~]# yum list | grep updates | grep ssl

openssl.x86_64                           1.0.1e-16.el6_5.7              updates

openssl-devel.x86_64                     1.0.1e-16.el6_5.7              updates

krb5-pkinit-openssl.x86_64               1.10.3-15.el6_5.1              updates

mod_ssl.x86_64                           1:2.2.15-30.el6.centos         updates

openssl.i686                             1.0.1e-16.el6_5.7              updates

openssl-devel.i686                       1.0.1e-16.el6_5.7              updates

openssl-perl.x86_64                      1.0.1e-16.el6_5.7              updates

openssl-static.x86_64                    1.0.1e-16.el6_5.7              updates


3. 패치 설치

[root@woorimail ~]# yum update openssl-devel.x86_64 openssl.x86_64

...

...

  Updating   : openssl-1.0.1e-16.el6_5.7.x86_64                                                                                                        1/4

  Updating   : openssl-devel-1.0.1e-16.el6_5.7.x86_64                                                                                                  2/4

  Cleanup    : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                  3/4

  Cleanup    : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                        4/4

  Verifying  : openssl-1.0.1e-16.el6_5.7.x86_64                                                                                                        1/4

  Verifying  : openssl-devel-1.0.1e-16.el6_5.7.x86_64                                                                                                  2/4

  Verifying  : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                        3/4

  Verifying  : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                  4/4


Updated:

  openssl-devel.x86_64 0:1.0.1e-16.el6_5.7


Dependency Updated:

  openssl.x86_64 0:1.0.1e-16.el6_5.7


Complete!

[root@woorimail ~]#


4. 패치 후 정상 처리 확인 ( @가 붙었나 안붙었나 ^^;; )

[root@woorimail ~]# yum list | grep updates | grep ssl

openssl.x86_64                           1.0.1e-16.el6_5.7              @updates

openssl-devel.x86_64                     1.0.1e-16.el6_5.7              @updates

krb5-pkinit-openssl.x86_64               1.10.3-15.el6_5.1              updates

mod_ssl.x86_64                           1:2.2.15-30.el6.centos         updates

openssl.i686                             1.0.1e-16.el6_5.7              updates

openssl-devel.i686                       1.0.1e-16.el6_5.7              updates

openssl-perl.x86_64                      1.0.1e-16.el6_5.7              updates

openssl-static.x86_64                    1.0.1e-16.el6_5.7              updates

[root@woorimail ~]#


5. openssl 라이브러리 반영을 위해 apache 재기동 또는 서버 리붓 


레드헷이나 기타 다른 버전의 OS는 모르겠습니다만 CentOS 6.5 에서는 패치가 나와 바로 적용 하였습니다.

참고 하여 적용 하세요.


오늘도 좋은 하루 되세요.

이 게시물을

======================================================================

WOORIMAIL.COM 기술지원

LINUX/UNIX 서버 베이스 C 개발자

PHP / XE 초심자 

두 아이 아빠 + 사랑하는 남편

======================================================================

좋아요(+1)
목록
글쓴이 제목 최종 글
EnterTM 홈페이지 만들때 SQLite 나 PostgreSQL 사용하는분은 아무도 없나요? [5] 2012.01.15 by snows96
아름다운지은 관리자 메뉴에서 설정에서 일반에서 [1] 2012.01.15 by snows96
정찬명 [설문조사] XE 1.6에서 반드시 해결되어야 하는 이슈는? [20] 2012.01.15 by 소걸음
SMaker XE에 한마디 던져보겠습니다. [48] 2012.01.15 by 흰새벽
SMaker 요즘 스패머들이 활동하기 시작하네요.  
snows96 XE 테스트 (데모) 사이트 공유 (v1.4 / v1.5 공유) [6] 2012.01.16 by snows96
Youth '사용자' 포럼에 대해 다시 생각해봐야합니다. [17] 2020.03.14 by BNU
탐앤 다만  
SMaker memcached를 이용한 세션 읽기/쓰기 속도 최적화 [6] 2012.01.16 by SMaker
마이콘 1.5버전 신문법 적용??  
NetCabin XE 1.5.x 업데이트 이후 배포했던것들 패치 해보겠다고 만지작 거리면서........... [3] 2012.01.16 by NetCabin
Gyools Daum view (다음뷰 애드온)의 mixsh 추천창 관련 오류 수정 가이드  
dydwn 서버이전시 이미지가 하나도 안보입니다 [1] 2012.01.17 by WSJ
아름다운지은 xe 에서 1.5.2를 사용중인데 [1] 2012.01.17 by 아진검
도라미 저기 서버모니터링에 무슨프로그램 쓰시나요? [8] 2012.01.17 by 미노아
미노아 1.5.1.2로 업글을 할려고하는데 테스트 목록같은거 없을까요? [3] 2012.01.17 by 이지데브
날림군 그누보드 게시판 데이터 변환시 에러발생부분 참고하세요.  
가리마 아래 #1456번 글처럼 modules/member/ 업데이트 안되는 문제 저도 좀 알려주세요........ [2] 2012.01.17 by 가리마
hika1 XE1.5.1.1 이후 댓글 허용이 기본값으로 체크되어 있지 않습니다 [14] 2012.01.18 by 코도치
sol 비밀번호 암호화? 방식 관련 [2] 2012.01.18 by 개발해보쟈
태그 쓰기