HeartBleed exploit
OpenSSL library의 취약성으로 인해, OpenSSL을 사용하는 시스템의 메모리를 외부에서 접근해서 볼 수 있게 만듭니다. OpenSSL이 웹, 이메일, IM, VPN 등에 널리 사용되고 있어서 대부분의 시스템이 영향권에 있습니다. 잠재적으로 사용자의 password나 private key등이 노출될 가능성이 있습니다.
다른 보안 bug와는 달리 HeartBleed 버그는 secret key와 관련되었고, 꽤 장기간 버그가 있는 상태로 노출되었고, 누출되더라도 흔적이 남지 않는 관계로 문제가 심각합니다. 정확한 통계자료는 없지만 전세계 웹 서버의 2/3 이상이 이 문제에 노출되었을 것으로 추정됩니다.
시스템 관리자는 OpenSSL library과 관련 package를 update하고, 서버의 SSL key를 재 생성 후, system을 reboot해야 합니다. http://heartbleed.com 에 영향을 받는 openssl package에 대한 정보가 있습니다.
사용자 입장에서는 시스템이 heartbleed bug가 patch된 상태에서 암호변경 작업을 해야 합니다. patch되지 않은 시스템에서 암호를 변경하는 것은 소용이 없습니다. 사용하는 서비스에서 보안 패치가 되었다는 알림을 받으면 암호와 private key를 변경하는 것을 추천합니다.
- http://heartbleed.com
- http://www.vox.com/2014/4/8/5593654/heartbleed-explainer-big-new-web-security-flaw-compromise-privacy
- Test your server for Heartbleed
Written on April 9, 2014