OpenSSL 라이브러리에서 서버에 저장된 중요 메모리 데이터가 노출되는 HeartBleed 보안 업데이트 방법
한국 인터넷침해대응센터(http://krcert.or.kr)의 보안공지에 아래 내용의 OpenSSL 취약점(HeartBleed) 대응 방안 권고가 올라와 있다.
통신 구간 암호화를 위해 많이 사용하는 OpenSSL 라이브러리에서 서버에 저장된 중요 메모리 데이터가 노출되는 HeartBleed라고 명명된 심각한 버그가 발견되어 시스템 및 소프트웨어에 대한 신속한 취약점 조치를 권고
Yahoo, Google, Facebook, Instagram, Tumblr, Pinterest, Github, Dropbox, AWS 등 OpenSSL HeartBleed취약점에 영향을 받은 서비스가 많은데, 서버 관리자 입장에선 머리가 쭈뼛했겠다.^^;
혹시 운영 중인 서버가 아직 OpenSSL HeartBleed 보안 업데이트가 안 되었다면, 지금이라도 잽싸게 업데이트하자!
버전 확인
sudo openssl version -a
built on 날짜가 2014년 4월 7일 이전이면 취약하므로 시스템 보안업데이트를 진행한다.보안 업데이트 설치
Arch 계열
pacman -Syu
Fedora 계열
yum update
Ubuntu 계열
sudo apt-get update
sudo apt-get dist-upgrade재시동
sudo reboot
버전 재확인
sudo openssl version -a
built on 날짜가 2014년 4월 7일 이후인지 다시 확인한다.
예)OpenSSL 1.0.1g 7 Apr 2014
built on: Mon Apr 7 22:24:40 CEST 2014
OpenSSL Heartbleed 보안 업데이트 참고 자료
- http://krcert.or.kr/kor/data/secNoticeView.jsp?pbulletinwriting_sequence=20884
- http://www.digitaltrends.com/computing/how-to-update-ubuntu-plug-heartbleed-openssl-flaw/#!FhvD5
by 月風