하트블리드

CVE-2014-0160는 일반적으로 하트블리드(영어: Heartbleed)라고 불리는 보안 취약점이다.

원리

OpenSSL의 일부 버전들에서 재현이 가능한 보안 취약점으로, HTTPS 보안 웹 서버와 웹 브라우저 사이에서 통신이 없더라도 연결을 유지하기 위해 심장박동(하트비트, Heartbeat)이라고 부르는 과정을 계속 수행하는데, 버퍼 오버플로우 기법을 사용하여 심장박동 프로세스 과정 중에 서버의 정보를 빼올 수 있는 취약점이다.

이 공격으로 최대 64KB 크기만큼의 정보를 빼올 수 있다.

대상

OpenSSL 1.0.1~1.0.1f 및 OpenSSL 1.0.2-beta에 취약점이 내장되어 있다.

OpenSSL 1.0.1g 이상 버전 및 OpenSSL 1.0.2-beta2 이상 버전에서 해결되었으며, OpenSSL 1.0.0 이하 버전에서는 해당 취약점이 없다.

OpenSSL을 사용하지 않는 마이크로소프트의 IIS나 애플의 macOS에 내장되는 웹 서버에서는 문제가 없지만 페이스북, 구글 등 OpenSSL에 의존하는 기업들에서는 이 문제를 해결하기 위해 보안 패치를 실시하였다.

이후

영향력이 매우 큰 보안 취약점에 별명이 붙은 첫 번째 취약점이었으며, 이후로도 영향력이 큰 보안 취약점에 별명이 붙기 시작했다.

별명이 붙은 취약점은 2018년 1월 기준 다음과 같은 취약점이 있다.

• CVE-2014-6271(쉘쇼크)
• CVE-2014-3566(POODLE (1))
• CVE-2014-8730(POODLE (2))
• CVE-2015-0235(GHOST)
• CVE-2015-0204(FREAK)
• CVE-2016-0128(배드록 (1))
• CVE-2016-2118(배드록 (2))
• CVE-2016–3714(이미지트래직)
• CVE-2016-0800(DROWN)
• CVE-2016-5195(더티 카우)
• CVE-2017-5753(스펙터-1)
• CVE-2017-5715(스펙터-2)
• CVE-2017-5754(멜트다운)