오픈소스 OpenSSL Heartbleed 취약점 발견

지난 주, OpenSSL 관련 보안 이슈가 있었다.

해당 버전을 사용하는 여러 업체들이 신속하게 대응하고 있는 듯..

버그에 대한 패치도 제공되고 있으니 확인하고 필요하다면 적용해야 할 것 같다.

취약점 내용은,

오픈소스인 OpenSSL의 Heartbeat 패킷을 조작하여 서버로 요청을 전송하게 되면 암호화 되지 않는 서버의 메모리 정보를 빼낼 수 있다. 즉 인증서와 관련된 개인정보들이 해당된다.

취약점이 발견된 버전은 OpenSSL 1.0.1 - 1.0.1f 버전이며, 그 외의 버전에서는 영향을 받지 않는다.

(대략, Enterprise Linux 6 버전대에 해당되며,  5 버전대는 해당 버전이 아니다)

버전을 확인하고자 한다면, 아래 명령으로 확인

# openssl version 

  

■ 해결방안

      - OpenSSL 1.0.1g로 업데이트

(https://www.openssl.org/source/)

 

아래는 취약점에 대한 RedHat Errata

-----------------------------------------------------------------------------------------------------------

Oracle Linux Security Advisory ELSA-2014-0376

https://rhn.redhat.com/errata/RHSA-2014-0376.html

The following updated rpms for Oracle Linux 6 have been uploaded to the
Unbreakable Linux Network:

i386:
openssl-1.0.1e-16.el6_5.7.i686.rpm
openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
openssl-perl-1.0.1e-16.el6_5.7.i686.rpm
openssl-static-1.0.1e-16.el6_5.7.i686.rpm

x86_64:
openssl-1.0.1e-16.el6_5.7.i686.rpm
openssl-1.0.1e-16.el6_5.7.x86_64.rpm
openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm
openssl-perl-1.0.1e-16.el6_5.7.x86_64.rpm
openssl-static-1.0.1e-16.el6_5.7.x86_64.rpm


SRPMS:
http://oss.oracle.com/ol6/SRPMS-updates/openssl-1.0.1e-16.el6_5.7.src.rpm



Description of changes:

[1.0.1e-16.7]
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension


_______________________________________________
El-errata mailing list
El-errata@oss.oracle.com
https://oss.oracle.com/mailman/listinfo/el-errata

━━━━━━━━━━━━━━━━━━━━━━━━━━━