'허트블리드'(Heartbleed. 취약점 번호 CVE-2014-0160) 취약점
구글 시큐리티 부문 닐 메타가 인터넷 프로토콜로 광범위하게 사용되고 있는 오픈SSL 라이브러리에서 발견한 취약점으로 OpenSSL 특정버전에서 bound check를 하지 않아 서버 메모리 중 64KB의 데이터를 공격자가 덤프를 뜰수 있게 하는 취약점 입니다.
OpenSSL이 TLS 표준을 따르지 않아 발생한 취약점이며,
이 취약점을 통해 서버 인증서의 Private Key가 노출될 수 있으며,
이 취약점을 악용하는 경우에는 로그가 남지 않는다고 합니다.
해당 취약점은 OpenSSL 1.0.1 ~ 1.0.1f 에 존재하며
이보다 이전 버전이나 1.0.1g 이후버전에는 해당 취약점이 존재하지 않습니다.
OpenSSL의 버전을 체크하셔서 안전한 버전으로 패치하시기 바랍니다.
단, 패치 하실 경우 설치되어 있는 서비스의 dependency를 미리 확인하셔야 합니다.
아래 내용에서 취약점 여부를 점검하는 사이트와 exploit code를 확인하실 수 있습니다.
자세한 내용을 확인하실 수 있는 사이트
http://heartbleed.com/
Heartbleed 취약점 존재여부 테스트사이트
http://filippo.io/Heartbleed/
https://www.ssllabs.com/
(Heartbleed뿐 아니라 SSL 보안 수준 전반에 대해 체크가능)
해당취약점 Exploit Code
http://www.exploit-db.com/
출처 : CONCERT
댓글