반응형
1. 개요
- 통신 구간 암호화를 위해 많이 사용하는 OpenSSL 라이브러리에서 서버에 저장된 중요 메모리 데이터가 노출되는 HeartBleed라고 명명된 심각한 버그가 발견되어 시스템 및 소프트웨어에 대한 신속한 취약점 조치를 권고
2. 취약점 정보
- 시스템 메모리 정보 노출 취약점
- CVE-2014-0160 (2014.04.07.)
- 영향 받는 버전
- OpenSSL 1.0.1 ~ OpenSSL 1.0.1f
- OpenSSL 1.0.2-beta, OpenSSL 1.0.2-beta1
- 영향 받는 시스템 및 소프트웨어
- 취약한 OpenSSL 버전이 탑재된 시스템
- 서버(웹서버, VPN 서버 등), 네트워크 장비, 모바일 단말 등 다양한 시스템이 해당될 수 있음
- 취약한 OpenSSL 라이브러리가 내장된 소프트웨어 제품
- 취약한 OpenSSL 버전이 탑재된 시스템
- 영향 받지 않는 소프트웨어
- OpenSSL 0.9.x 대 버전
- OpenSSL 1.0.0 대 버전
- OpenSSL 1.0.1g
3. 취약점 내용
- OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이 검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점
- 하트비트 : 클라이언트와 서버 간의 연결 상태 체크를 위한 OpenSSL 확장 모듈
[KISA]_OpenSSL_취약점(HeartBleed)_대응_방안_권고.pdf
0.29MB
참조 : www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=20884
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
반응형
