OpenSSL 중요 보안 업데이트: VE-2014-0160 (하트브리드)

Updated -

OpenSSL이 TLS (Transport Layer Security) 및 DTLS (Datagram Transport Layer Security) 확장 패킷을 처리하는 방법에 있어서 정보 유출 결함이 있는 것이 발견되었습니다. 이러한 결함은 일반적으로 하트브리드 버그라고 합니다.

악성 TLS 또는 DTLS 클라이언트나 서버는 특수하게 조작된 TLS 또는 DTLS 하트비트 패킷을 전송하여 연결된 클라이언트 또는 서버에서의 요청에 따라 메모리의 제한된 부분을 노출할 수 있습니다. 이렇게 노출된 메모리 부분에는 개인키와 같은 중요한 정보가 포함되어 있을 수 있다는 점에 유의합니다. (CVE-2014-0160)

이러한 문제는 Red Hat Enterprise Linux 5 및 Red Hat Enterprise Linux 6.4 이전에 탑재된 openssl 버전에는 영향을 미치지 않습니다. 이는 openssl 1.0.1e가 포함된 Red Hat Enterprise Linux 7 beta, Red Hat Enterprise Linux 6.5, Red Hat Enterprise Virtualization Hypervisor 6.5, Red Hat Storage 2.1에 영향을 미칩니다.

시스템을 업데이트한 후 Red Hat의 하트브리드 감지기를 사용하여 시스템이 보안되어 있는지를 확인할 수 있습니다. 보안 연구 커뮤니티의 추가 보고서를 통해 취약한 시스템에서 키가 도난될 수 있음이 입증되었기 때문에 Red Hat은 취약점에 노출된 시스템에서 SSL 키를 교체할 것을 강력하게 권장합니다. 보다 자세한 내용은 하트브리드 취약점 복구: Recovering from the Heartbleed Vulnerability에서 참조하십시오.

해당 일정

해당 일정은 이러한 공지 사항의 영어 버전을 참조하십시오.

Red Hat 웹사이트 취약점에 대한 공지 사항

2014년 4월 7일 OpenSSL 프로젝트는 CVE-2014-0160 (일명 "하트브리드")에서 확인된 취약점에 대응하기 위해 최신 정보를 발표했습니다.

Red Hat은 보안 대책에 진지하게 임하고 있습니다. 고객 데이터를 전송한 다음 Red Hat 웹사이트는 SSL/TLS 통신을 위해 취약한 OpenSSL 라이브러리에 의존하지 않았기 때문에 "하트브리드" 취약점의 영향을 받지 않습니다:

  • www.redhat.com
  • access.redhat.com (Red Hat 고객 포털)
  • rhn.redhat.com (Red Hat Network)
  • Product
  • Red Hat Customer Portal