4월 7일 월요일, "Heartbleed"로 알려진 주요 취약점이 응용 프로그램 및 웹 서버에서 널리 사용되는 인기 있는 OpenSSL 암호화 라이브러리에서 발견되었습니다. 따라서 인터넷의 사이트와 서비스는 이 취약점을 패치하고 고객을 보호하기 위해 SSL 인증서를 업데이트하느라 분주합니다. 말했듯이 OpenSSL v1.0.1 ~ 1.0.1f(포함)는 취약하며 2014년 4월 7일에 릴리스된 OpenSSL 1.0.1g는 이 버그를 수정합니다.
Heartbleed.com에서 발췌한 내용,
Heartbleed 버그는 인기 있는 OpenSSL 암호화 소프트웨어 라이브러리의 심각한 취약점입니다. 이 취약점으로 인해 정상적인 조건에서 인터넷 보안에 사용되는 SSL/TLS 암호화로 보호된 정보를 훔칠 수 있습니다. SSL/TLS는 웹, 이메일, IM(인스턴트 메시징) 및 일부 VPN(가상 사설망)과 같은 응용 프로그램에 대해 인터넷을 통한 통신 보안 및 개인 정보 보호를 제공합니다.
Heartbleed 버그는 인터넷상의 모든 사람이 OpenSSL 소프트웨어의 취약한 버전으로 보호되는 시스템의 메모리를 읽을 수 있도록 합니다. 이를 통해 공격자는 통신을 도청하고 서비스와 사용자로부터 직접 데이터를 훔치고 서비스와 사용자를 가장할 수 있습니다.
귀하의 사이트 또는 Android 폰이 Heartbleed 버그의 영향을 받는지 확인하십시오. –
정보를 위임한 사이트가 취약한지 여부와 인증서가 업데이트된 시기를 알려주는 서비스가 있습니다.
Filippo Valsorda의 Heartbleed 테스트 – filippo.io/Heartbleed
Heartbleed(CVE-2014-0160)에 대해 서버를 테스트하려면 URL 또는 호스트 이름을 입력하십시오. 다음과 같이 포트를 지정할 수 있습니다. example.com:4433. 기본적으로 443입니다.
LastPass Heartbleed 검사기 – lastpass.com/heartbleed
사이트가 Heartbleed에 취약한지 확인하십시오. 사이트의 서버 소프트웨어를 보여주고 취약한지 여부와 SSL 인증서가 현재 안전한지, 마지막으로 생성된 시간을 알려줍니다.
Chromebleed(구글 크롬 확장 프로그램)
탐색 중인 사이트가 Heartbleed 버그의 영향을 받는 경우 경고를 표시합니다. Filippo의 서비스를 사용하여 페이지의 URL을 확인합니다. 사이트를 수동으로 확인하지 않으려는 경우 유용합니다.
Mashable은 현재 상태, 해당 사이트가 영향을 받았는지, 비밀번호를 변경해야 하는지 여부를 설명하는 흥미로운 잘 알려진 사이트 목록을 준수했습니다.
Android용 Heartbleed 감지기 –
Android 사용자는 Lookout Mobile Security의 "Heartbleed Detector"라는 무료 앱을 사용하여 Android 기기가 HeartBleed 버그에 취약한지 쉽게 확인할 수 있습니다. 앱은 기기에서 사용 중인 OpenSSL 버전을 결정합니다. 장치가 영향을 받는 OpenSSL 버전 중 하나를 실행 중인 경우 특정 취약한 동작이 활성화되었는지 여부를 확인합니다.
그러나 기기가 취약한 경우 Google이나 기기 제조업체에서 패치를 출시하지 않는 한 취할 수 있는 필요한 조치가 없습니다.
태그: Android보안