우분투, 데비안 OpenSSL Heartbleed 보안패치 방법

어제부터 알려진 OpenSSL 버그 (링크 : OpenSSL에 심각한 보안 취약점 발견) 때문에 난리였습니다.

저는 오늘 아침에 보고 바로 업데이트 했습니다.

DB의 메모리가 읽히고, Key 또한 유출 가능성이 있어 업데이트는 필수고 SSL인증서도 재발급 받으라고 합니다.

http://askubuntu.com/questions/444702/how-to-patch-cve-2014-0160-in-openssl

위 링크에 방법이 있지만...  (1.0.1g로 컴파일링 하는 방법 포함)

간단하게 우분투와 데비안에서는 패키지 업그레이드 하면 해결됩니다.

OpenSSL 홈페이지에는 (링크 : https://www.openssl.org/news/secadv_20140407.txt)

1.0.1g 로 업그레이드 해야 한다고 나오지만, heartbleed 패치는 보안 업데이트만 하면 되는 것 같네요.

그냥

하면 끝입니다.

업그레이드 하게되면 

1.0.1e  그대로지만, 

위 명령어를 내려서 나오는 패키지 버전으로 보면

우분투의 경우

위와 같이 나옵니다.

해당 버전의 로그를 보면 

https://launchpad.net/ubuntu/ source/openssl/1.0.1e-3ubuntu1.2

위 링크에서 확인 가능합니다.

memory disclosure in TLS heartbeat extension

위와 같은 내용이 있는데요. heartbeat 관련 패치가 되었음을 볼 수 있습니다.

데비안의 경우

위와 같이 나옵니다.

https://security-tracker.debian.org/tracker/CVE-2014-0160

위 링크에서 보면 안전하다고 나오네요 ㅎㅎ

그리고 SSL인증서가 있다면 key를 재발급 받아서 다시 설치하는 것이 좋아보입니다.

마지막으로 업데이트를 확인하고 싶다면

http://filippo.io/Heartbleed

위 사이트에 가서 보안포트 포함해서 넣어보면 됩니다.

위와 같이 All good 이라고 나오면 패치 완료된 것입니다.

이상 보안패치 방법에 대해 알려드렸습니다.