윈디하나의 누리사랑방. 이런 저런 얘기

글쓴시간
분류 기술,IT/서버
하트블리드 버그(Heartbleed Bug)

사용자 삽입 이미지

하트블리드


최근에 공개된 OpenSSL의 보안 버그입니다. 2014.04.07에 패치되었습니다. 제 웹 서버는 별 생각없이 패치했습니다만, 이거 의외로 심각한거 같네요. 전 보안 위험은 낮게 봅니다만 OpenSSL이 안쓰이는 곳이 없을 정도로 대중화된 라이브러리라 아마 대부분의 기기가 영향 받을것으로 보입니다.

OpenSSL에서 TLS/DTLS 규격의 하나인 heartbeat 를 구현하는 코드에서, 메모리 관련 경계 검사 오류(경계 확인을 하지 않음)가 존재하고, 공격자는 이를 통해 서버 메모리상의 임의의 주소에 있는 데이터를 읽을 수 있다고 합니다. 임의의 주소에 민감한 정보가 남아있으면 위험하겠죠. 하지만 아직 스크립트 키드들을 위한 툴이 발견된건 아닌거 같습니다. '하트비트' 버그를 이용한거기 때문에 일종의 패러디로 '하트블리드'로 이름 붙였네요.

OpenSSL 1.0.1 ~ OpenSSL 1.0.1f 까지 영향 받습니다. OpenSSL 1.0.1g를 받아 설치하거나 업그레이드가 불가능한 경우 하트비트 기능을 끄고 설치하라네요.

이 버그에 대한 전용 홈페이지까지 나와있는 상태입니다. CVE-2014-0160으로 등록되어있습니다.

쉽게 말하면, 조만간 소프트웨어들 업데이트 있을테니 묻지 말고 패치하라는 겁니다. 특히 웹서비스 운영하시는 분들요. 시놀로지라는 NAS 업체도 자사의 DSM 솔루션을 이미 패치했네요.

----

2014.04.16 하트 블리드를 사용한 해킹 사례가 있네요. 하지 않으신 분들은 어서 패치해야 할듯 합니다.

http://www.zdnet.com/heartbleed-used-for-canada-revenue-agency-breach-7000028425/

----

2014.04.22 이 버그는 서버뿐만 아니라 클라이언트도 영향 받습니다. 공격자가 가짜 서버를 만들어 클라이언트의 메모리에 있는 데이터를 빼낼 수 있습니다. 영향받는 소프트웨어 중에 안드로이드 운영체제도 있네요.

----

하트블리드 버그: http://heartbleed.com/
소스 변경 내역: http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3
시놀로지 하트블리드 보안 패치: http://www.synology.com/ko-kr/support/security_hotfix_dsm_5_0_4458_update_2