하트블리드(HeartBleed) 취약점 *CVE-2014-0160

*CVE-2014-0160

데이터그램 전송계층 보안(Datagram Transport Layer Security) 프로토콜의 하트비트 확장은 매번 연결을 재시도하지 않아도 안전한 통신 연결을 테스트하고 유지시키는 방법을 제공

하트블리드 버그는 OpenSSL 1.0.1 버전에서 발견된 취약점으로 버퍼 초과 읽기로 분류되는데 소프트웨어가 허용된 것보다 더 많은 데이터를 읽게 하는 상황을 가리킴

이 문제는 필요한 양보다 더 많은 데이터를 요청하는 하트비트 요청 메세지를 무시함으로써 수정할 수 있음

OpenSSL라이브러리의 구조적인 취약점으로 하트비트는 서버와 클라이언트 사이에 무슨 문제는 없는지 또는 안정적인 연결을 유지하기 위한 목적으로 일정 신호를 주고 받을 때 사용함

하트비트의 정상적인 통신

클라이언트는 하트비트 확장 프로토콜을 이용하여 임의의 정보를 그정보의 길이와 함께 서버에 전송 후 서버는 전달받은 정보를 다시 클라이언트에 전달해 주는 과정을 통해 자신의 존재 사실을 알려줌

이 때 클라이언트로부터 전달받은 정보와 그 정보의 길이가 일치하지 않는다면 클라이언트의 요청에 서버는 응답을 하지 않는 것이 정상적인 동작. 하지만 이번에 발견된 취약점은 서버가 클라이언트로부터 전달받은 정보의 내용과 그 정보의 길이의 일치 여부를 검증하지 않은 채 정보를 보내주면서 문제가 발생하게 됨

하트블리드 취약점의 통신

하트블리드 명칭의 유래는 해당취약점으로 공격할 때마다 작은 정보들이 새어 나오는 것을 심장이 한번씩 뛸 때마다 심장에서 피가 한 방울씩 떨어지는 치명적인 심장출혈로 비유하여 명명함

하트 블리드 취약점이 가능한 OS버전들

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4

Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11

CentOS 6.5, OpenSSL 1.0.1e-15

Fedora 18, OpenSSL 1.0.1e-4

OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)

FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013

NetBSD 5.0.2 (OpenSSL 1.0.1e)

OpenSUSE 12.2 (OpenSSL 1.0.1c)

이미지 출처 : http://blog.alyac.co.kr/76#comment11675170 (알약 블로그)