"이 서버는 Heartbleed에 취약합니다. OpenSSL의 최신 버전으로 업데이트하고 웹 서버 또는 어플라이언스의 인증서를 바꾸고 손상된 서버 메모리에서 노출되었을 수 있는 최종 사용자 암호를 초기화합니다."
Heartbleed 버그는 OpenSSL 암호화 라이브러리의 Heartbleed 확장에 있습니다. OpenSSL 버전 1.0.1부터 1.0.1f 및 1.0.2-beta1은 Heartbleed 버그 공격에 취약합니다. Heartbleed 버그 취약성은 OpenSSL 암호화 라이브라리에 약점이며 공객자는 일반적으로 SSL 및 TLS 프로토콜에서 보호하는 중요한 정보에 액세스할 수 있습니다.
OpenSSL은 암호화 기능을 채용하고 다양한 유틸리티 기능을 제고하는 암호화 라이브러리를 포함하여 SSL(Secure Sockets Layer) 및 TLS(Transport Security Layer Security) 프로토콜을 구현하는 오픈소스 도구 키트입니다. 이 암호화 라이브러리는 많은 인터넷의 트래픽을 보호하기 위해 인터넷의 서버들이 일반적으로 구현합니다.
공격자는 Heartbleed 버그 공격을 사용하여 다음과 같은 사항에 액세스할 수 있습니다.
환경을 Heartbleed 버그에 대해 보호하려면 취약한 버전의 OpenSSL의 실행하는 서버 및 OpenSSL 라이브러리의 영향을 받은 버전을 사용하는 소프트웨어를 패치해야 합니다
OpenSSL 최신 버전으로 업그레이드합니다.(버전 1.0.1g 이상)
패치를 설치한 후에 소프트웨어를 다시 시작하여 OpenSSL 라이브러리가 초기화되었고 Heartbleed 버그가 캐시 메모리에서 제거된 것을 확인합니다.
OpenSSL 최신 버전으로 업그레이드할 수 없는 경우
DigiCert Discovery를 사용하여 환경을 다시 검사하여 더 이상 Heartbleed 버그 공격에 취약하지 않은지 확인합니다.
재발급한 인증서를 설치한 후에는 교체한 인증서를 해지해야 합니다. 인증서를 해지하려면 인증 기관에 연락하십시오.
DigiCert 고객은 support@digicert.com으로 지원팀에게 이메일 보내십시오. 인증서의 주문 번호 및 철회하려는 간략한 내용을 포함하십시오.
서버가 암호를 수락하는 경우, 서버 및 소프트웨어를 패치하고 인증서에 키를 재생성하고 인증서를 재발급하고 설치하고 철회한 후에만 클라이언트도 암호를 초기화하게 해야 합니다.
서버/소프트웨어를 패치하고 인증서의 키를 재생성하고 인증서를 재발급하고 설치하고 철회하기 전에 클라이언트가 암호를 초기화하는 경우, 암호는 여전히 노출되어 있으며 암호를 다시 초기화해야 합니다.