OpenSSL 취약점

Apache로 운영중이라면....https 통신을 위해 보통 OpenSSL 라이브러리를 사용중일 텐데요.

얼마전 발표된 OpenSSL관련 Heartbleed취약점 정보 입니다.

The Heartbleed Bug

- 취약점 정보

* 시스템 메모리 정보 노출 취약점 : CVE-2014-0160 (2014.04.08)  ->정보링크  * 영향 받는 시스템 및 소프트웨어     : 취약 OpenSSL 버전 탑재된 시스템       서버(웹서버, VPN 서버 등), 네트워크 장비, 모바일 단말 등 다양한 시스템이 해당       취약 OpenSSL라이브러리가 내장된 소프트웨어 제품  * 서버가 암호화 통신상태가 유지되고 있는지를 확인하는 과정에서 요청한 정보의 크기를 제대로 확인하지    않는다는 것에서 발생하는 취약점  * OpenSSL 암호화 라이브러리의 하트비트(HeartBeat)라는 확장 모듈에서 클라이언트 요청 메세지를 처리할    때 데이터 길이 검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크키의 데이터를외부에서 아무런 제한    없이 탈취할 수 있는 취약점  * 하트비트 : 클라이언트와 서버 간의 연결 상태 체크를 위한 OpenSSL 확장 모듈  * 공격자는 메세지 길이 정보가 변조된 HearBeat Request 패킷을 취약한 OpenSSL버전 사용하는 서버에 전송    할 경우, 정해진 버퍼 밖의 데이터를 공격자에게 전송하여 시스템 메모리에 저장된 개인정보 및 인증 정보    등을 탈취 가능

- 취약버전

OpenSSL : 1.0.1 OpenSSL : 1.0.1:beta1 ~ beta3 OpenSSL : 1.0.1a ~ f

- 취약하지 않은 버전

OpenSSL : 0.9.x OpenSSL : 1.0.0 OpenSSL : 1.0.1g

- OpenSSL버전 확인

# oepnssl version -a # rpm -qi openssl

- OpenSSL HeartBeat 활성화 확인
  : 보안에 취약한 버전이라 할지라도 heartbeat가 활성화 되어있지 않으면 영향 없음

# openssl s_client –connect domain.com:443 –tlsextdebug –debug –state | grep -i heartbeat

* domain.com : 여기에 해당 url입력, 넣지 않으면 default localhost:443

- OpenSSL 취약점 조회 웹사이트

https://filippo.io/Heartbleed/

- 취약점 조치 방안
: OpenSSl 버전을 1.0.1g로 업데이트
운영환경에 따른 업데이트 방안 선택

1. 직접 OpenSSL다운로드 및 설치

2. CentOS/Fedora

[시스템 전체 update] yum update [OpenSSL update] sudo pacman -Syu

3. Ubuntu

[시스템 전체 update] yum update [OpenSSL update] sudo apt-get install --only-upgrade openssl sudo apt-get install --only-upgrade libssl1.0.0

4. 운영환경 때문에 update가 어려운 경우, heartbeat를 사용하지 않도록 컴파일 옵션 설정하여 재컴파일

./config –DOPENSSL_NO_HEARTBEATS make depend make make install

5. 서버 SSL 비밀키(Secret Key)가 유출되었을 가능성을 고려하여 인증서 재발급 검토 필요

6. 탈취된 계정 악용된 추가 피해 방지하여 사용자 비밀번호 재설정 유도 방안도 고려
   (현재 야휴 메일의 경우 사용자 계정정보 유출 확인되어 비밀번호 변경 안내 중)

일부 출처 [KISA ]