비디오: ë´ì ë ì¸ë¯¸ì»¨ëí¸, ì ê³ ìµì´ ê³ ì ì°ì AD컨ë²í° ê°ë°ãìë£Â·ì°ì ì© ì¥ë¹, ë°°í°ë¦¬ ìëª ëë ¸ë¤ã (십월 2024)
새로운 버전의 OpenSSL이 있으며 예, 이전 버전의 보안 패키지에 심각한 취약점이있는 것으로 나타났습니다. 그러나 발견 된 이러한 결함은 좋은 것입니다. 우리는 Heartbleed 비율의 재앙을보고 있지 않습니다.
언뜻 보면 OpenSSL에서 수정 된 7 가지 취약점을 모두 나열한 OpenSSL 권고는 무서운 목록으로 보입니다. 취약점 중 하나가 악용 될 경우 공격자는 MITM (Man-in-the-Middle) 공격에서 OpenSSL 클라이언트와 OpenSSL 서버 간의 트래픽을보고 수정할 수 있습니다. 이 문제는 모든 클라이언트 버전의 OpenSSL 및 서버 1.0.1 또는 1.0.2-beta1에 존재합니다. 공격이 성공하고 시작하기가 상당히 복잡하려면 클라이언트와 서버 모두에 취약한 버전이 존재해야합니다.
문제의 범위가 매우 제한적이지만 OpenSSL이 포함 된 소프트웨어를 계속 사용하는 데 관심이있을 수 있습니다. 먼저 Heartbleed. 이제 중간자 공격. OpenSSL에 버그가 있다는 사실에 초점을 맞추면 (어떤 소프트웨어는 그렇지 않습니까?)
더 많은 눈, 더 많은 보안
개발자가 이러한 버그를 공개하고 수정한다는 사실은 안심할 수 있습니다. OpenSSL 소스 코드에 더 많은 시선이 있다는 것을 의미하기 때문입니다. 더 많은 사람들이 잠재적 인 취약점에 대해 각 라인을 면밀히 조사하고 있습니다. 올해 초 Heartbleed 버그가 공개 된 후, 많은 사람들이이 프로젝트의 광범위한 사용에도 불구하고 프로젝트에 많은 자금이 없거나 많은 헌신적 인 개발자가 없다는 사실에 놀랐습니다.
IOActive의 컨설턴트를 관리하는 Wim Remes는 "현재 [OpenSSL]은 현재 받고있는 보안 커뮤니티의 주목을받을 만하다"고 말했다.
Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel 및 Cisco를 포함한 기술 대기업 컨소시엄이 Linux Foundation과 함께 CII (Core Infrastructure Initiative)를 구성했습니다. CII는 오픈 소스 프로젝트에 자금을 제공하여 풀 타임 개발자를 추가하고 보안 감사를 수행하며 테스트 인프라를 개선합니다. OpenSSL은 CII에 의해 자금이 지원되는 첫 번째 프로젝트였습니다. 네트워크 시간 프로토콜 및 OpenSSH도 지원됩니다.
HyTrust의 수석 설계자 인 Steve Pate는 "커뮤니티는 OpenSSL이 더 나은 제품이되고 문제가 신속하게 발견되고 해결되도록하는 데 어려움을 겪었습니다."
걱정해야합니까?
시스템 관리자 인 경우 OpenSSL을 업데이트해야합니다. 더 많은 버그가 발견되어 수정 될 것이므로 관리자는 소프트웨어를 최신 상태로 유지하기 위해 패치를 주시해야합니다.
대부분의 소비자에게는 걱정할 것이 없습니다. Qualys의 엔지니어링 디렉터 인 Ivan Ristic은 버그를 악용하기 위해 통신의 양쪽 끝에 OpenSSL이 존재해야하며 일반적으로 웹 브라우징에서는 발생하지 않는다고 말했다. 데스크톱 브라우저는 OpenSSL에 의존하지 않으며, Android 기기의 기본 웹 브라우저와 Android 용 Chrome은 모두 OpenSSL을 사용합니다. "취약에 필요한 조건은 찾기가 상당히 어렵다"고 Ristic은 말했다. 그는 착취가 중간자 배치를 요구한다는 사실은 "제한적"이라고 말했다.
OpenSSL은 종종 명령 줄 유틸리티 및 프로그래밍 방식 액세스에 사용되므로 사용자는 즉시 업데이트해야합니다. OpenSSL을 사용하는 소프트웨어 응용 프로그램은 새 버전이 출시되는 즉시 업데이트해야합니다.
Qualys의 CTO 인 Wolfgang Kandek은 소프트웨어를 업데이트하고 "OpenSSL의 향후 업데이트가이 소프트웨어 패키지에서 발견되는 마지막 버그가 아니기 때문에 빈번한 업데이트를 준비하십시오"라고 경고했습니다.
