안녕하세요. 플러스아이 기술팀 입니다.
최근 심각한 취약점이 발견 된 OpenSSL 라이브러리는 웹브라우저와 장비간 통신을 암호화 하는데에 가장 널리쓰이는 프로그램입니다. RFC6520 TLS/DTLS Heartbeat Extension 이 표준을 따르지 않고 구현되어 발생한 버그로 인해 서버의 메모리 64KB 데이터가 유출되는 취약점을 가지고 있습니다. 해당 취약점은 OpenSSL 1.0.1 ~ 1.0.1f , 1.0.2-beta ~ 1.0.2-beta1 버전에서 확인되어 긴급 패치 대상이 되었습니다.
영향 받는 버전
- OpenSSL 1.0.1 ~ OpenSSL 1.0.1f
- OpenSSL 1.0.2-beta, OpenSSL 1.0.2-beta1
영향 받지 않는 버전
- OpenSSL 1.0.0 대 버전
- OpenSSL 0.9.x 대 버전
패치된(취약점 해소) 버전
- OpenSSL 1.0.1g
취약점분석
서버는 실제 서버에 도달한 payload의 길이가 payload length와 맞지 않을 경우 메시지를 무시하여야 하지만, 위의 취약한 버전에서 그 조건을 체크하지 않고 memcpy 를 수행하기 때문에, 클라이언트가 서버의 메모리 영역 내에서 무작위 약 64KB 데이터가 유출되는 취약점 존재
–
ShieldOne SIG 6.x 장비는 현재 OpenSSL 0.9.xx 버전을 사용하고 있어, 취약점에 영향이 없음을 알려 드립니다.
감사합니다.
참조 :
