'Heartbleed'에 해당되는 글 1건

  1. 2014.04.23 HeartBleed 이슈 및 대처방법
WDM/Architecture2014.04.23 14:09

당신 회사의 톰캣은 괜찮으십니까?

요즘 화두가 되고 있는 Heartbleed OpenSSL에 대해 설명드리고자 합니다.

취약점은 톰캣설치 폴더의 Bin폴더안에 tcnative-1.dll이 버그가 발견 되었습니다.

버그에 영향이 있는 버전은 1.1.24~29까지 입니다.

이 버전을 사용하여 인증서를 발급할 경우 개인키가 노출되어 SSL패킷이 복호화 될 수 있다는 문제를 가지고 있습니다.

일부는 톰캣을 바꿔야 되는 경우도 있습니다. OpenSSL을 탑재하여 빌드 된 버전들은 수정을 하셔야 합니다.

해당 정보는 아래의 사이트에서 확인 하실 수 있습니다.
http://scn.sap.com/community/bi-platform/blog/2014/04/11/testing-for-heartbleed-vulnerability-for-the-bi-platform



tcnative-1.dll은 톰캣 가속엔진입니다. 그래서 기능을 사용하지 않는다면 삭제하시고 사용하시면 됩니다.

삭제를 하게되면 아파치로그에

The APR based Apache Tomcat Native library which allows optimal performance in production environments was not found on the java.library.path

라는 로그가 보일 것 입니다.


삭제를 안하고 사용하고 싶다면 얼마전 아파치에서 릴리즈된 1.1.30버전을 사용하시면 됩니다. 


tcnative-1.dll



톰캣 6.0에 해당 DLL만 교체하여 사용해본 결과 이상없이 잘 사용되고 서버도 정상적으로 동작합니다. 톰캣 버전을 안올리셔도 됩니다.


다른 몇몇의 방법들이 있지만 이 방법이 가장 적용하기 쉬운 방법인 것 같아 공유합니다.




Posted by 쫑경