2014년 4월 15일 화요일

OEPN SSL RHEL관련된 취약점 내용

회사에 송과장님이 정리한 내용
RHEL 과 Open ssl 취약점

RHEL 6.5 미만에는 OPEN SSL이 기본 포함이 아니므로 관계가 없는 것은 아니고 ...
없으면 Apache 등을 운영하기 위해 깔았을 것이니 검토는 해보아야 합니다.

REHL 6.5 이상에서는 기본 포함되어 있으므로 사용/미사용을 떠나서 업데이트 해야 합니다.

==============

OpenSSL 취약점 관련 내용입니다.

Red Hat 의 내용.
    : OPENSSL은 Secure Sockets Layer(SSL v2/v3)와 Transport Layer Security(TLS v1) 프로토콜로 암호화를 위한 라이버러리입니다.
    : OPENSSL의 프로젝트 팀으로 부터 보안 이슈를 받아서 패치를 생성할 하였다는 사항이고, 이는 Red Hat의 잘못이 아니라 오픈소스인 Openssl에서 보안홀이 발생이 된 소스를 배포를 함으로 인해 모든 OS가-Openssl을 사용하는- 문제의 사항이 되는 것으로 이 문제의 라이브러리가 포함된 OS는 패치를 해야 되는 것입니다.
    : Red Hat 6에 해당이 되며 openssl-1.0.1e-15.el6 부터 openssl-1.0.1e-16.el6_5.4 패키지를 사용하는 OS가 해당 됩니다.
        ==> 이는 RHEL 6.5 이상 부터 OS에 포함이 되었으므로 하위버전은 상관이 없습니다.
            https://access.redhat.com/site/announcements/781953 에 해당 내용이 있습니다. (아래 발췌 참조)
            ==> 해당 버전은 RHEL 6.5, RHEV Hypervisor 6.5, RHS 2.1 입니다.


REDHAT의 홈페이지에 있는 내용으로는 아래링크를 참고 하시면 되고, https://rhn.redhat.com/errata/RHSA-2014-0376.html

다운로드는 아래링크를 참고하시기 바랍니다.
openssl-1.0.1e-16.el6_5.7.i686.rpm
https://rhn.redhat.com/rhn/software/packages/details/Overview.do?pid=930367
openssl-1.0.1e-16.el6_5.7.x86_64.rpm
https://rhn.redhat.com/rhn/software/packages/details/Overview.do?pid=930347
 

openssl 보안 취약점 관련하여 웹사이트에서 간단히 해당 보안 취약점에 해당 되는지 안되는지 확인 할 수 있는 사이트입니다.

http://filippo.io/Heartbleed/

해당 사이트에서 확인하고 싶은 웹사이트 주소를 치시면  해당 웹사이트가 openssl 보안 취약점에 해당 하는지 안하는지를 확인가능합니다. ps. 해당 취약점 보안패치 (openssl ) 하고 당연히 apache 혹은 웹 서버 프로세서 재기동 하여야 합니다.

감사합니다.

댓글 없음:

댓글 쓰기

본 블로그의 댓글은 검토후 등록됩니다.