Heartbleed 버그

관련된 오류

"이 서버는 Heartbleed에 취약합니다. OpenSSL의 최신 버전으로 업데이트하고 웹 서버 또는 어플라이언스의 인증서를 바꾸고 손상된 서버 메모리에서 노출되었을 수 있는 최종 사용자 암호를 초기화합니다."

문제점

Heartbleed 버그는 OpenSSL 암호화 라이브러리의 Heartbleed 확장에 있습니다. OpenSSL 버전 1.0.1부터 1.0.1f 및 1.0.2-beta1은 Heartbleed 버그 공격에 취약합니다. Heartbleed 버그 취약성은 OpenSSL 암호화 라이브라리에 약점이며 공객자는 일반적으로 SSL 및 TLS 프로토콜에서 보호하는 중요한 정보에 액세스할 수 있습니다.

OpenSSL은 암호화 기능을 채용하고 다양한 유틸리티 기능을 제고하는 암호화 라이브러리를 포함하여 SSL(Secure Sockets Layer) 및 TLS(Transport Security Layer Security) 프로토콜을 구현하는 오픈소스 도구 키트입니다. 이 암호화 라이브러리는 많은 인터넷의 트래픽을 보호하기 위해 인터넷의 서버들이 일반적으로 구현합니다.

공격자는 Heartbleed 버그 공격을 사용하여 다음과 같은 사항에 액세스할 수 있습니다.

  • 암호화 키
    공격자는 이 키를 사용하여 귀하의 웹 사이트에 과거 및 이후의 보안 통신을 암호 해독하고 언제든지 귀하의 웹 사이트로 가장할 수 있습니다.
  • 사용자 자격 증명
    공격자는 고객의 사용자 이름 및 암호를 사용하여 귀하의 웹 사이트에서 보호하는 정보에 액세스할 수 있습니다.
  • 보호하는 콘텐츠
    공격자는 개인적 또는 재정적 세부 정보, 개인 통신(이메일 또는 인스턴트 메시지) 및 문서에 액세스할 수 있습니다.
  • 자료
    공격자는 메모리 주소 및 보안 방안과 같은 유출된 메모리 콘텐츠에 액세스할 수 있습니다.

솔루션

패치 소프트웨어

환경을 Heartbleed 버그에 대해 보호하려면 취약한 버전의 OpenSSL의 실행하는 서버 및 OpenSSL 라이브러리의 영향을 받은 버전을 사용하는 소프트웨어를 패치해야 합니다

OpenSSL 최신 버전으로 업그레이드합니다.(버전 1.0.1g 이상)

  • 서버
    패키지 매니저를 확인하여 업데이트된 OpenSSL 패키지를 찾아서 설치합니다. 업데이트된 OpenSSL 패키지가 없는 경우, 서비스 공급자에게서 OpenSSL 최신 버전을 받으십시오.
  • 소프트웨어
    Heartbleed 버그 취약성을 수정하기 위해 배포한 소프트웨어 패치를 확인하여 설치합니다. 소프트웨어 패치가 없는 경우, 소프트웨어 공급자에게 연락하여 최신 패치를 받아서 설치합니다.
    참고: 패치를 설치한 후에 소프트웨어를 다시 시작하여 OpenSSL 라이브러리가 초기화되었고 Heartbleed 버그가 캐시 메모리에서 제거된 것을 확인합니다.

패치를 설치한 후에 소프트웨어를 다시 시작하여 OpenSSL 라이브러리가 초기화되었고 Heartbleed 버그가 캐시 메모리에서 제거된 것을 확인합니다.

OpenSSL 최신 버전으로 업그레이드할 수 없는 경우

  • OpenSSL 버전 1.0.0 이전으로 롤백합니다.
  • OpenSSL을 OPENSSL_NO_HEARTBEATS 플래그를 포함하여 다시 컴파일합니다.

Heartbleed 버그 취약성 패치를 확인

DigiCert Discovery를 사용하여 환경을 다시 검사하여 더 이상 Heartbleed 버그 공격에 취약하지 않은지 확인합니다.

인증서 키 재생성, 재발급 및 설치

  • 영향을 받은 서버의 모든 인증서를 키를 재생성하고 재발급합니다.
    인증서를 다시 발급할 때 반드시 CSR(인증서 서명 요청)를 생성합니다. CSR 만들기를 참조하십시오.
  • 서버 및 소프트웨어를 패치한 후에만 재발급한 인증서를 설치합니다.

교체한 인증서 해지

재발급한 인증서를 설치한 후에는 교체한 인증서를 해지해야 합니다. 인증서를 해지하려면 인증 기관에 연락하십시오.

DigiCert 고객은 support@digicert.com으로 지원팀에게 이메일 보내십시오. 인증서의 주문 번호 및 철회하려는 간략한 내용을 포함하십시오.

암호 초기화

서버가 암호를 수락하는 경우, 서버 및 소프트웨어를 패치하고 인증서에 키를 재생성하고 인증서를 재발급하고 설치하고 철회한 후에만 클라이언트도 암호를 초기화하게 해야 합니다.

서버/소프트웨어를 패치하고 인증서의 키를 재생성하고 인증서를 재발급하고 설치하고 철회하기 전에 클라이언트가 암호를 초기화하는 경우, 암호는 여전히 노출되어 있으며 암호를 다시 초기화해야 합니다.

정보

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.