Heartbleed 버그

일전에 ssl/tls 라이브러리의 한 종류인 GnuTLS에 치명적인 버그가 있었다는 이야기[1]를 들은 적이 있는데, ssl/tls의 다른 라이브러리인 OpenSSL에 심각한 버그가 있다는 이야기가 화제가 되고 있다. Schneier 선생의 블로그[2]가 있으니 링크한다.

일명 ‘heartbleed‘라 불리는 버그인데, 벌써 사이트[3]가 만들어져 있다. 헐.

설명 잘 돼 있으니 궁금하면 가서 읽어보자. 왜 이런 이름으로 불리나 싶었는데, 중간에 설명 보니까 새로 추가된 확장기능이 heartbeat extension이라는 이름으로 배포된 모양이다. 근데 여기에 버그가 발견돼서 이런 네이밍 센스를 발휘한 듯. ㅋㅋ 이름 하나 강렬하구만. 빨리 고쳐야 될 것 같은 느낌이다. 본인이 개인적으로 쓰는 웹서버도 아파치2라서 바리바리 업데이트 완료. (물론 방문하는 사람은 두 명 뿐이지만-_- 꾸준히 봇의 공격을 받고 있다. ㅋ) 이전에 쓰던 패스워드는 이미 유출되었을 가능성이 있으므로 다른 것으로 바꾸는 것이 좋다.

뭐 본인은 잘 모르지만, 흔히 오픈소스이니 만큼 협력작업으로 버그도 빨리 발견되고 보안성이 높다는 이야기를 자주 들은 바 있다. 근데 위의 GnuTLS도 그렇고, 일전에 klutzy님의 OpenSSL에 Duel EC DRBG가 제대로 구현되지 않았는데도 아무도 몰랐다는 이야기[4] 하며, 또 OpenSSL의 코딩이 완전 개판[5]이라는 소문을 들으니, 뭐 잘 모르긴 해도 오픈 소스의 보안성이 생각만큼 높은 건 아닌가 하는 생각이 든다.

 


2014.4.10
good math, bad math 블로그[6]에 이번 버그를 친절하게 설명하고 있어서 링크함.

 


2014.4.11
Heartbleed Explanation (xkcd.com)

 


2014.4.13
하트블리드가 어떻게 인터넷을 망가뜨렸는가 – 그리고 다시 이런 일이 일어날 이유 (eggry.egloos.com)
오픈이 다시 한번 승리했다 (yoonjiman.net)

 


2014.4.17
알 자지라 Canadian arrested for Heartbleed hacking 17 Apr 2014 01:59

 


2017.1.24
the hacker news Over 199,500 Websites Are Still Vulnerable to Heartbleed OpenSSL Bug Sunday, January 22, 2017

 


2017.1.26
지디넷 “한국, 세계 2위 하트블리드 취약점 보유국” 2017.01.26.09:33

 


[1] arstechnica Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping 3/5/2014, 3:56 AM
[2] Heartbleed (schneier.com)
[3] http://heartbleed.com/
[4] 내 백과사전 NSA가 보안회사와 비밀 계약을 하다 2013년 12월 21일
[5] OpenSSL is written by monkeys (2009) (hacker news)
[6] THE HEARTBLEED BUG (goodmath.org)

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google photo

Google의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

This site uses Akismet to reduce spam. Learn how your comment data is processed.