웹 해킹과 보안

panics.egloos.com

포토로그



Heartbleed Bug / OpenSSL 취약점

지난 8일 각종 언론을 타기 시작하면서 Heartbleed 취약점(CVE-2014-0160) 이 많은 사람들에게 알려졌습니다.
해당 취약점은 간단하게 말해서 SSL을 사용하고 있는 서버에서 연결이 정상적으로 잘 유지되는지를 확인하기 위한 기능을 악용하여 공격자가 서버의 메모리를 열람할 수 있는 취약점입니다.
(더욱 자세한 설명은 인터넷 검색이나 CVEDB나 http://heartbleed.com/ 등에서 손쉽게 확인하실 수 있습니다.)

워낙 크게 이슈화 되었기 때문에 많은 사이트에서 이러한 문제에 대한 패치가 이루어 졌지만
아직도 패치되지 않은 사이트들이 존재하고 있기 때문에 당사에서는 해당 취약점에 대한 점검 도구(exe)를 배포하고 있습니다.
(별도의 바이너리로 제공되므로 알려진 py 스크립트와 다르게 런타임이 필요하지 않으며,
 패닉시큐리티는 일체의 정보수집을 수행하지 않으므로 안심하셔도 좋습니다 ^_^;)

http://www.panicsecurity.com/sub.html?menu_index=2#heartbleed

그외에도 아래와 같은 사이트를 통하여 별도의 툴 없이 점검할 수 있으니 참고하시기 바랍니다. (당사와는 관계 없습니다)

https://filippo.io/Heartbleed/


덧글

  • 시험결과 2014/04/15 10:16 # 삭제 답글

    알려주신 panicsecurity의 툴로는 "안전"이라고 뜨고, 돌아다니는 ssltest.py(https://github.com/starchy/hb-batch) 으로는 취약하다고 뜨고 ... 어딜 믿어야할지 모르겠네요 ㅠㅠ
  • 패닉스 2014/04/17 13:37 #

    아마 처음 공개 당시에는 TLS 1.2 에 대해서만 점검을 수행했기 때문에 차이가 발생했던것 같습니다. 현재버전은 TLS 1.1에 대해서도 추가 점검을 수행합니다.
댓글 입력 영역