아이디저장
 
   
Home > Give & Take > CONCERT Hot Line
한국침해사고대응팀협의회
  KISA, OpenSSL의 취약점 악용한 공격 주의 당부
  사무국   관리자   2014-04-10   

어제 CONCERT Hot Line을 통해 공지드렸던 OpenSSL 취약점 관련
금일 KISA에서 보도자료가 배포되었습니다.

CONCERT 회원사께서는 내용을 참고하시어
해당 취약점이 존재하는 경우에는 조속히 취약점을 보완하시기 바랍니다.

아울러 웹서비스뿐만 아니라 VPN이나 SSL을 지원하는 보안장비도 OpenSSL 라이브러리를 사용한 경우에는 동일한 취약점에 노출될 수 있으니 해당 취약점의 유무를 확인하시기 바랍니다.

=============================================================================


 한국인터넷진흥원(KISA)은 웹브라우저와 서버간의 통신을 암호화하는 오픈소스 라이브러리인 ‘OpenSSL’에 대한 심각한 취약점이 발견되어 즉각적인 업데이트가 필요하다고 밝혔다.
   ※ 취약한 버전 : OpenSSL 1.0.1 ~ 1.0.1f 및 OpenSSL 1.0.2-beta, 1.0.2-beta1
   ※ 취약하지 않은 버전 : OpenSSL 1.0.0 대 버전 및 OpenSSL 0.9.x 대 버전

 이 취약점은 허트블리드(HeartBleed)로 명명되었으며, 해당 취약점을 악용할 경우 웹서버로 전송된 개인정보, 비밀번호 등은 물론 웹서버의 암호키도 탈취될 수 있다.

 공격자는 취약한 버전의 OpenSSL이 설치된 서버를 대상으로 인증 정보 등이 저장된 64Kbyte 크기의 메모리 데이터를 외부에서 아무런 제한 없이 탈취할 수 있어 매우 심각하다. 해당 취약점은 허트비트(Heartbeat)라는 SSL 확장 프로토콜을 구현하는 과정에서 발생하였으며, 2012년 3월부터 OpenSSL 1.0.1 버전에 구현되었다.

 해당 취약점을 해결하기 위해서는 OpenSSL 공식홈페이지(www.openssl.org)에 접속하여 지난 4월 7일에 배포된 OpenSSL 1.0.1g 버전으로 업데이트를 해야 한다. OpenSSL은 주로 공개용 웹서버 프로그램인 Apache 또는 Nginx와 함께 사용되는 경우가 많아 이를 사용하는 경우 특히 OpenSSL의 버전을 확인하고 조치해야 한다.
   ※ 업데이트가 어려운 경우 “-DOPENSSL_NO_HEARTBEATS” 옵션 설정 후 재컴파일하여 heartbeat 비활성화

 정현철 KISA 침해사고분석단장은 “이번 취약점을 악용하는 공격 코드가 공개되어 당분간 공격이 지속될 것으로 보이며, OpenSSL을 사용하는 기업이나 기관은 중요 정보가 유출되는 것을 막기 위해 즉시 업데이트를 적용할 것”을 당부하였다.


  KISA_OpenSSL_취약점(HeartBleed)_대응_방안_권고.pdf
  CONCERT Hot Line 게시판 이용안내 사무국 2013-04-10
401   국내 은행대상 DDoS 공격 협박 사무국 2017-06-21
400   3/28 中 홍커연맹의 한국 웹사이트 공격예고에 대… 사무국 2017-03-22
399   개인정보보호법 해설서&개인정보의 안정성확보조… 사무국 2017-01-05
398   웹 브라우저 암호 고도화 정책에 따른 주의 권고 사무국 2016-01-06
397   MS Font 드라이버 원격코드 실행 신규 취약점 보… 사무국 2015-07-21
396   [KrCERT] HTTP.sys 취약점(CVE-2015-1635) 보안조… 사무국 2015-04-16
395   정보보안 기사/산업기사 저자무료특별강의 wjcio 2015-03-11
394   윈도서버 2003 보안 서비스 지원 종료 관련 보안 … 사무국 2015-03-09
393   [KrCERT]리눅스 Ghost 취약점 보안 업데이트 권고 사무국 2015-01-29
392   Gnu bash 취약점(ShellShock) 조치 현황 조사 요… 사무국 2014-10-01
391   [KrCERT]OpenSSL 다중 취약점 보안업데이트 권고… 사무국 2014-06-10
390   [KISA/금융보안연구원]OpenSSL 다중취약점 보안업… 사무국 2014-06-09
389   [KrCERT/CC]GoZeus, CryptoLocker 악성코드 피해… 사무국 2014-06-03
388   MS IE 제로데이 취약점 조치방법 공유 사무국 2014-04-30
387   KISA, OpenSSL의 취약점 악용한 공격 주의 당부 사무국 2014-04-10
   1 2 3 4 5 6 7 8 9 10    
 
개인정보취급방침