OpenSSL 취약점 - HeartBleed 대응

2014.04.18 08:32



ㅇ 취약점 내용 

- OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이 검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점

- 하트비트 : 클라이언트와 서버 간의 연결 상태 체크를 위한 OpenSSL 확장 모듈



ㅇ 공격형태

- 본 취약점은 원격에서 발생 가능한 취약점으로, 공격자는 메시지 길이 정보가 변조된 HeartBeat Request 패킷을 취약한 OpenSSL 버전을  사용하는 서버에 전송할 경우, 정해진 버퍼 밖의 데이터를 공격자에게 전송하게 되어 시스템 메모리에 저장된 개인정보 및 인증 정보 등을 탈취할 수 있음







ㅇ 영향받는 OpenSSL 버전

  - OpenSSL 1.0.1 ~ 1.0.1f

  - OpenSSL 1.0.2 beta




ㅇ 영향받지 않는 OpenSSL 버전

  - OpenSSL 0.9.x 대 버전

  - OpenSSL 1.0.0 대 버전

  - OpenSSL 1.0.1g




ㅇ OpenSSL 버전 확인


[AIX:root] / > openssl version -a

OpenSSL 0.9.8y 5 Feb 2013

......

platform: aix-xlc_r

......

OPENSSLDIR: "/var/ssl"




[root@RHEL]# openssl version -a

OpenSSL 1.0.0-fips 29 Mar 2010

......

platform: linux-x86_64

......

OPENSSLDIR: "/etc/pki/tls"




ㅇ 하트비트 활성화 여부 확인

- 취약한 버전이라도 HeartBeat 기능을 사용하지 않으면 취약점에 영향 받지 않음


# openssl s_client -connect doamin.com:443 -tlsextdebug -debug -state | grep -i heartbeat


(domain.com 부분에 점검 URL 입력)




- heartbeat 문자열이 검색되지 않으면 heartbeat 기능을 사용하지 않고 있는 경우이며 취약점에 영향 받지 않음




또루아빠 보안 , , ,