ShieldOne SIG OPENSSL HEART BLEED 취약점 관련

취약점
하트블리드
heartbleed
shieldone
ssl
openssl
sig
쉴드원
태그: #<Tag:0x00007fe4d2fc4978> #<Tag:0x00007fe4d2fc4450> #<Tag:0x00007fe4d2fc4158> #<Tag:0x00007fe4d2fe7f40> #<Tag:0x00007fe4d2fe7ab8> #<Tag:0x00007fe4d2fe76d0> #<Tag:0x00007fe4d2fe72e8> #<Tag:0x00007fe4d2fe6cd0>

#1

안녕하세요. 플러스아이 기술팀 입니다.

최근 심각한 취약점이 발견 된 OpenSSL 라이브러리는 웹브라우저와 장비간 통신을 암호화 하는데에 가장 널리쓰이는 프로그램입니다. RFC6520 TLS/DTLS Heartbeat Extension 이 표준을 따르지 않고 구현되어 발생한 버그로 인해 서버의 메모리 64KB 데이터가 유출되는 취약점을 가지고 있습니다. 해당 취약점은 OpenSSL 1.0.1 ~ 1.0.1f , 1.0.2-beta ~ 1.0.2-beta1 버전에서 확인되어 긴급 패치 대상이 되었습니다.

영향 받는 버전

  • OpenSSL 1.0.1 ~ OpenSSL 1.0.1f
  • OpenSSL 1.0.2-beta, OpenSSL 1.0.2-beta1

영향 받지 않는 버전

  • OpenSSL 1.0.0 대 버전
  • OpenSSL 0.9.x 대 버전

패치된(취약점 해소) 버전

  • OpenSSL 1.0.1g

취약점분석

서버는 실제 서버에 도달한 payload의 길이가 payload length와 맞지 않을 경우 메시지를 무시하여야 하지만, 위의 취약한 버전에서 그 조건을 체크하지 않고 memcpy 를 수행하기 때문에, 클라이언트가 서버의 메모리 영역 내에서 무작위 약 64KB 데이터가 유출되는 취약점 존재


ShieldOne SIG 6.x 장비는 현재 OpenSSL 0.9.xx 버전을 사용하고 있어, 취약점에 영향이 없음을 알려 드립니다.

감사합니다.

참조 :