linux OpenSSL 취약점 이슈로 2015.3.19 부터 업데이트 고지가 떳는데, 왜 업데이트 해도 적용이 안될까요 ?
글쓴이: cyk7890 / 작성시간: 화, 2015/03/24 - 1:20오후
바로 지난 2015년 3월 19일부로
Freak Attack 라는 이슈로 OpenSSL 취약점에 대해 업데이트 고지가 떳습니다.
HTTPS (보안 프로토콜)을 사용하는경우에대해서 OpenSSL 버전에따라 취약점이 있는듯 합니다.
저같은 경우는 CentOS 6 이고 openssl 1.0.1e 버전이 설치되어있는데요
역시나 체크해보니 취약점 발견된다고 메시지가 뜨는군요
그래서 openssl 1.0.1k 버전으로 소스를 내려받아서 컴파일까지 완료하고 설치 뙇
$openssl version 이라고 치면
1.0.1k 라고 잘 나오는데
정작 취약점을 체크하는 스크립트를 수행하면 업데이트 전과 똑같이 취약점이 발견된다고만 나옵니다.
1.0.1k 는 안전하다고 이걸 설치하라고 안내받았는데
대체 뭐가 문젤까요 ? "??
Forums:
?
Freak 취약점(CVE-2015-0204) 이 수정된 것은 1.0.1 대 버전의 경우 1.0.1m 입니다.
2개나 낮은 버전을 받으셔서 설치하셨기 때문에 그대로 취약점이 있습니다.
소스 컴파일 하셨다면 https://www.openssl.org/source/ 에서 받으셨을 텐데
어떻게 k 버전을 받으셨는지는 모르겠네요.
허허..
인포섹도 그렇고 구글링을 해봐도 그렇고
1.0.1 사용중인 서버는 1.0.1k 로 업그레이드 하라고 설명이 나와있길래 그렇게했는데..
지금 바로 1.0.1m 설치해보겠습니다
이런..
여전히 취약점이 잡히내요 ㅠㅠ 분명 버전은 1.0.1m 인데!! ㅠㅠ 심지어 1.0.2 도 설치해봣었고...
물론 설치후에 재부팅도 했습니다만!! ㅠㅠㅠㅠ 아 돌아버리겠어요
$ sh check_freak.sh www.my.co.kr 443
CRITICAL - The Service at www.my.co.kr on port 443 IS PROBABLY VULNERABLE to FREAK (CVE 2015-0204)
$ openssl version
OpenSSL 1.0.1m 19 Mar 2015
openssl을 업데이트한 서버가
openssl을 업데이트한 서버가 www.my.co.kr를 서비스하는 서버는 맞나요?
저 체크는 www.my.co.kr의 https가 취약하다는 뜻인것 같은데...
Signature :) - "여유를 갖고 행동하되 게을러지지 말자"
Cent OS 6 / RHEL 6 의 경우 Freak
Cent OS 6 / RHEL 6 의 경우 Freak 취약점(CVE-2015-0204)은 이미 1월달에 openssl-1.0.1e-30.el6_6.5 버전에서 픽스가 되었습니다. 그리고 어제부로 CVE-2015-0209 CVE-2015-0286 CVE-2015-0287 CVE-2015-0288 CVE-2015-0289 CVE-2015-0292 CVE-2015-0293를 픽스한 openssl-1.0.1e-30.el6_6.7 버전이 또 보안버그 픽스로 나왔습니다.
아마도 OS 설치 후에 OS update 설정을 하지 않은 것으로 보이시네요. 보통 이런 류의 보안 버그들은 OS update 설정만 해 놓아도 크게 신경쓸 필요 없이 넘어갈 수 있습니다. (openssl의 경우 DSO로 많이 사용되기 때문에 openssl link된 binary들은 재실행이 필요 합니다.)
Cent OS 6 또는 RHEL 7의 업데이트 소식은
https://rhn.redhat.com/errata/rhel-server-6-errata.html
에서 확인하실 수 있습니다.
openssl 같은경우 업데이트이후 재실행 해야 합니다.
참조 URL: https://access.redhat.com/ko/node/1377433
그나저나.. CentOS 5.x OpenSSL 업데이트 버전은 안나오는 것일까요 ... 0.9.8e
냐하..
openssl 버전에 의한 취약점 여부가 해결되려면
아파치 + 톰캣을 사용했을때 얘기라고 하더군요
저같은경우는 톰캣만 사용하는데 이경우 java 쪽에서 제공하는 뭐시기가 따로있다고 합니다....... openssl 과 무관하계 https 취약점이 있다는거죠 .
무튼 JDK 1.7 을 사용하면서 뭔가 라이브러리를 추가해주면 된다는듯한데..
요점은 아파치 가 없는 톰캣서버에는 openssl 버전이슈는 해당이 되질 않는다고합니닷
openssl 취약점은 apache가 없는
openssl 취약점은 apache가 없는 tomcat은 문제가 없다고 할 수 없습니다. tomcat은 문제가 없겠지만, 해당 호스트에 openssl을 link하고 있는 모든 application/library들이 문제가 되니까요. 쉽게 왠만한 host들은 모두 openssh들이 열려 있죠.
즉 tomcat이 standalone으로 동작한다고 openssl issue가 없어지는 것은 아닙니다.
제가 쓴 글이 오해에 소지가 있군여
아.. 제가 쓴 글이 좀 오해에 소지가 있는 마무리로 글을 작성했네요
내 김정균님 말씀대로 openssl 이슈에는 해당합니다.
제가 말씀드린느점은 아파치를 사용하지 않는 톰캣서버에서는 openssl 버전업데이트로는 취약점 문제 해결이 되지 않는다는 내용이었습니다. ㅎ
댓글 달기