linux OpenSSL 취약점 이슈로 2015.3.19 부터 업데이트 고지가 떳는데, 왜 업데이트 해도 적용이 안될까요 ?

cyk7890의 이미지

바로 지난 2015년 3월 19일부로

Freak Attack 라는 이슈로 OpenSSL 취약점에 대해 업데이트 고지가 떳습니다.

HTTPS (보안 프로토콜)을 사용하는경우에대해서 OpenSSL 버전에따라 취약점이 있는듯 합니다.

저같은 경우는 CentOS 6 이고 openssl 1.0.1e 버전이 설치되어있는데요

역시나 체크해보니 취약점 발견된다고 메시지가 뜨는군요

그래서 openssl 1.0.1k 버전으로 소스를 내려받아서 컴파일까지 완료하고 설치 뙇

$openssl version 이라고 치면
1.0.1k 라고 잘 나오는데

정작 취약점을 체크하는 스크립트를 수행하면 업데이트 전과 똑같이 취약점이 발견된다고만 나옵니다.

1.0.1k 는 안전하다고 이걸 설치하라고 안내받았는데

대체 뭐가 문젤까요 ? "??

익명 사용자의 이미지

Freak 취약점(CVE-2015-0204) 이 수정된 것은 1.0.1 대 버전의 경우 1.0.1m 입니다.
2개나 낮은 버전을 받으셔서 설치하셨기 때문에 그대로 취약점이 있습니다.

소스 컴파일 하셨다면 https://www.openssl.org/source/ 에서 받으셨을 텐데
어떻게 k 버전을 받으셨는지는 모르겠네요.

cyk7890의 이미지

인포섹도 그렇고 구글링을 해봐도 그렇고

1.0.1 사용중인 서버는 1.0.1k 로 업그레이드 하라고 설명이 나와있길래 그렇게했는데..

지금 바로 1.0.1m 설치해보겠습니다

cyk7890의 이미지

여전히 취약점이 잡히내요 ㅠㅠ 분명 버전은 1.0.1m 인데!! ㅠㅠ 심지어 1.0.2 도 설치해봣었고...
물론 설치후에 재부팅도 했습니다만!! ㅠㅠㅠㅠ 아 돌아버리겠어요

$ sh check_freak.sh www.my.co.kr 443
CRITICAL - The Service at www.my.co.kr on port 443 IS PROBABLY VULNERABLE to FREAK (CVE 2015-0204)

$ openssl version
OpenSSL 1.0.1m 19 Mar 2015

yhsuk의 이미지

openssl을 업데이트한 서버가 www.my.co.kr를 서비스하는 서버는 맞나요?
저 체크는 www.my.co.kr의 https가 취약하다는 뜻인것 같은데...

Signature :) - "여유를 갖고 행동하되 게을러지지 말자"

김정균의 이미지

Cent OS 6 / RHEL 6 의 경우 Freak 취약점(CVE-2015-0204)은 이미 1월달에 openssl-1.0.1e-30.el6_6.5 버전에서 픽스가 되었습니다. 그리고 어제부로 CVE-2015-0209 CVE-2015-0286 CVE-2015-0287 CVE-2015-0288 CVE-2015-0289 CVE-2015-0292 CVE-2015-0293를 픽스한 openssl-1.0.1e-30.el6_6.7 버전이 또 보안버그 픽스로 나왔습니다.

아마도 OS 설치 후에 OS update 설정을 하지 않은 것으로 보이시네요. 보통 이런 류의 보안 버그들은 OS update 설정만 해 놓아도 크게 신경쓸 필요 없이 넘어갈 수 있습니다. (openssl의 경우 DSO로 많이 사용되기 때문에 openssl link된 binary들은 재실행이 필요 합니다.)

Cent OS 6 또는 RHEL 7의 업데이트 소식은

https://rhn.redhat.com/errata/rhel-server-6-errata.html

에서 확인하실 수 있습니다.

익명 사용자의 이미지

참조 URL: https://access.redhat.com/ko/node/1377433

그나저나.. CentOS 5.x OpenSSL 업데이트 버전은 안나오는 것일까요 ... 0.9.8e

cyk7890의 이미지

openssl 버전에 의한 취약점 여부가 해결되려면

아파치 + 톰캣을 사용했을때 얘기라고 하더군요

저같은경우는 톰캣만 사용하는데 이경우 java 쪽에서 제공하는 뭐시기가 따로있다고 합니다....... openssl 과 무관하계 https 취약점이 있다는거죠 .

무튼 JDK 1.7 을 사용하면서 뭔가 라이브러리를 추가해주면 된다는듯한데..

요점은 아파치 가 없는 톰캣서버에는 openssl 버전이슈는 해당이 되질 않는다고합니닷

김정균의 이미지

openssl 취약점은 apache가 없는 tomcat은 문제가 없다고 할 수 없습니다. tomcat은 문제가 없겠지만, 해당 호스트에 openssl을 link하고 있는 모든 application/library들이 문제가 되니까요. 쉽게 왠만한 host들은 모두 openssh들이 열려 있죠.

즉 tomcat이 standalone으로 동작한다고 openssl issue가 없어지는 것은 아닙니다.

cyk7890의 이미지

아.. 제가 쓴 글이 좀 오해에 소지가 있는 마무리로 글을 작성했네요

내 김정균님 말씀대로 openssl 이슈에는 해당합니다.

제가 말씀드린느점은 아파치를 사용하지 않는 톰캣서버에서는 openssl 버전업데이트로는 취약점 문제 해결이 되지 않는다는 내용이었습니다. ㅎ

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.