Heartbleed : OpenSSL 1.0.1 ~ 1.0.1f

피 흘려서 수술해야 하는 OpenSSL 버전: 1.0.1 ~ 1.0.1f

업데이트 필요한 OS : CentOS 6.5, Ubuntu 12.04.4 LTS (OpenSSL 1.0.1 이상 사용, 반드시!)

업데이트 필요없는 OS: CentOS 6.4 이하, XenServer (OpenSSL 1.0.0 이하 사용)

업데이트 방법:

•  sudo yum update (CentOS, OpenSSL 1.0.1e-16.el6_5.7 이상)
•  sudo apt-get upgrade (Ubuntu 12.04 LTS, 1.0.1-4ubuntu5.12 이상)
• How do I Confirm the version of OpenSSL running within my instance? (패키지별 버전 확인 방법)

 

뭔데 난리야?

한국은 조용한데, 미국에서는 CVE-2014-0160가 CNN에도 등장하네요. 무심코 본 CNN에서 이야기하고, AWS 에서도 ‘너네 시스템 패치 안했던데, 업데이트 해라!’라고 메일와서 알았습니다.

영향 받는 OpenSSL을 사용하는 시스템에서는 버그로 인해서 메모리를 읽을 수 있고, 메모리의 인증서 비밀키, 사용자 암호 등등등을 가로챌 수 있고 어떤 흔적도 남지 않는다네요! (The Heart Bleed Bug) 문제는 버그를 2년 동안이나 모르고 있다가 최근에 발견되었고 그 사이 어떤 탈취가 있었는지 모르기 때문에 인터넷 서비스 업체는 인증서 재발급하고, 사용자는 암호 변경해야 합니다.

CVE-2014-0160 이 2013.12.3 에 보고 되었고 OpenSSL Patch는 2014.4.6 에 이루어 졌는데, OpenSSL 같은 대형 프로젝트도 이런 버그를 수정하는데 4개월이 소요된다는 점, 완전히 기술적인 문제인데 개인 정보 유출 때문에 미국 사회에서도 난리인가? 라는 생각이 드네요.

그리고 Microsoft Azure 에서도 CentOS로 영향받는 서버가 있는데, Azure에서는 아직 아무 소리가 없네요. 🙂

서버들 빨리 패치 합시다! (함께 만드는 투자기준 – Voeasy, 우린 다 했음~)

 

 

---