Heartbleed 버그

"이 서버는 Heartbleed에 취약합니다. OpenSSL의 최신 버전으로 업데이트하고 웹 서버 또는 어플라이언스의 인증서를 바꾸고 손상된 서버 메모리에서 노출되었을 수 있는 최종 사용자 암호를 재설정합니다."

Heartbleed 버그는 OpenSSL 암호화 라이브러리의 Heartbleed 확장에 있습니다. OpenSSL 버전 1.0.1부터 1.0.1f 및 1.0.2-beta1은 Heartbleed 버그 공격에 취약합니다. Heartbleed 버그 취약성은 OpenSSL 암호화 라이브라리에 약점이며 공객자는 일반적으로 SSL 및 TLS 프로토콜에서 보호하는 중요한 정보에 액세스할 수 있습니다.

공격자는 Heartbleed 버그 공격을 사용하여 다음과 같은 사항에 액세스할 수 있습니다.

• 암호화 키
  공격자는 이 키를 사용하여 귀하의 웹 사이트에 과거 및 이후의 보안 통신을 암호 해독하고 언제든지 귀하의 웹 사이트로 가장할 수 있습니다.
• 사용자 자격 증명
  공격자는 고객의 사용자 이름 및 암호를 사용하여 귀하의 웹 사이트에서 보호하는 정보에 액세스할 수 있습니다.
• 보호하는 콘텐츠
  공격자는 개인적 또는 재정적 상세 정보, 개인 통신(이메일 또는 인스턴트 메시지) 및 문서에 액세스할 수 있습니다.
• 자료
  공격자는 메모리 주소 및 보안 방안과 같은 유출된 메모리 콘텐츠에 액세스할 수 있습니다.

환경을 Heartbleed 버그에 대해 보호하려면 취약한 버전의 OpenSSL의 실행하는 서버 및 OpenSSL 라이브러리의 영향을 받은 버전을 사용하는 소프트웨어를 패치해야 합니다

OpenSSL 최신 버전으로 업그레이드합니다.(버전 1.0.1g 이상)

• 서버
  패키지 매니저를 확인하여 업데이트된 OpenSSL 패키지를 찾아서 설치합니다. 업데이트된 OpenSSL 패키지가 없는 경우, 서비스 공급자에게서 OpenSSL 최신 버전을 받으십시오.
• 소프트웨어
  Heartbleed 버그 취약성을 수정하기 위해 배포한 소프트웨어 패치를 확인하여 설치합니다. 소프트웨어 패치가 없는 경우, 소프트웨어 공급자에게 연락하여 최신 패치를 받아서 설치합니다.
  참고: 패치를 설치한 후에 소프트웨어를 다시 시작하여 OpenSSL 라이브러리가 재설정되었고 Heartbleed 버그가 캐시 메모리에서 제거된 것을 확인합니다.

OpenSSL 최신 버전으로 업그레이드할 수 없는 경우

• OpenSSL 버전 1.0.0 이전으로 롤백합니다.
• OpenSSL을 OPENSSL_NO_HEARTBEATS 플래그를 포함하여 다시 컴파일합니다.

DigiCert Discovery를 사용하여 환경을 다시 스캔하여 더 이상 Heartbleed 버그 공격에 취약하지 않은지 확인합니다.

• 영향을 받은 서버의 모든 인증서를 키를 재생성하고 재발급합니다.
  인증서를 다시 발급할 때 반드시 새 CSR(인증서 서명 요청)를 생성합니다. CSR 만들기를 참조하십시오.
• 서버 및 소프트웨어를 패치한 후에만 재발급한 인증서를 설치합니다.

재발급한 인증서를 설치한 후에는 교체한 인증서를 해지해야 합니다. 인증서를 해지하려면 인증 기관에 연락하십시오.

DigiCert 고객은 support@digicert.com으로 지원팀에게 이메일 보내십시오. 인증서의 주문 번호 및 해지하려는 간략한 내용을 포함하십시오.

서버가 암호를 수락하는 경우, 서버 및 소프트웨어를 패치하고 인증서에 키를 재생성하고 인증서를 재발급하고 설치하고 해지한 후에만 클라이언트도 암호를 초기화하게 해야 합니다.