Heartbleed 버그

일전에 ssl/tls 라이브러리의 한 종류인 GnuTLS에 치명적인 버그가 있었다는 이야기를 들은 적이 있는데, ssl/tls의 다른 라이브러리인 OpenSSL에 심각한 버그가 있다는 이야기가 화제가 되고 있다. Schneier 선생의 블로그가 있으니 링크한다.

Heartbleed by Schneier

일명 ‘heartbleed’라 불리는 버그인데, 벌써 이런 사이트가 만들어져 있다. 헐.

http://heartbleed.com/

설명 잘 돼 있으니 궁금하면 가서 읽어보자. 왜 이런 이름으로 불리나 싶었는데, 중간에 설명 보니까 새로 추가된 확장기능이 heartbeat extension이라는 이름으로 배포된 모양이다. 근데 여기에 버그가 발견돼서 이런 네이밍 센스를 발휘한 듯. ㅋㅋ 이름 하나 강렬하구만. 빨리 고쳐야 될 것 같은 느낌이다. 본인이 개인적으로 쓰는 웹서버도 아파치2라서 바리바리 업데이트 완료. (물론 방문하는 사람은 두 명 뿐이지만-_- 꾸준히 봇의 공격을 받고 있다. ㅋ) 이전에 쓰던 패스워드는 이미 유출되었을 가능성이 있으므로 다른 것으로 바꾸는 것이 좋다.

뭐 본인은 잘 모르지만, 흔히 오픈소스이니 만큼 협력작업으로 버그도 빨리 발견되고 보안성이 높다는 이야기를 자주 들은 바 있다. 근데 위의 GnuTLS도 그렇고, 일전에 OpenSSL에 Duel EC DBRG가 제대로 구현되지 않았는데도 아무도 몰랐다는 이야기 하며, 또 OpenSSL의 코딩이 완전 개판이라는 소문을 들으니, 뭐 잘 모르긴 해도 오픈 소스의 보안성이 생각만큼 높은 건 아닌가 하는 생각이 든다.

 


2014.4.10
good math, bad math 블로그에 이번 버그를 친절하게 설명하고 있어서 링크함.
THE HEARTBLEED BUG in Good Math, Bad Math

 


2014.4.11
Heartbleed Explanation in xkcd

 


2014.4.13
하트블리드가 어떻게 인터넷을 망가뜨렸는가 – 그리고 다시 이런 일이 일어날 이유 by 계란소년
오픈이 다시 한번 승리했다 by Yoon Jiman

 


2014.4.17
알 자지라 Canadian arrested for Heartbleed hacking 17 Apr 2014 01:59

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중