OpenSSL 취약점(CVE-2015-1793)으로부터 NGINX 보호

이번 주에 OpenSSL팀은 새로운 “높은 심각도” 취약점을 발표하고 곧바로 상세 내용을 게시했습니다. 이 취약점(CVE-2015-1793로 지정)은 OpenSSL 의 인증서 검증 과정을 악용하여 악의적인 사용자가 다른 사용자나 웹 사이트를 가장할 수 있게 할 수 있습니다.

목차

1. OpenSSL 취약점이 NGINX에 끼치는 영향
2. OpenSSL 취약점에 노출되어 있는지 확인
3. OpenSSL 업그레이드

1. OpenSSL 취약점이 NGINX에 끼치는 영향

NGINX에서 클라이언트 인증서 검증 또는 상위 서버 인증서의 유효성 검사를 구성할 때, OpenSSL의 인증서 검증 과정을 사용합니다. 이 과정에서 클라이언트 또는 서버 인증서는 제공한 신뢰할 수 있는 루트 인증서 집합과 일치시킵니다. 과정이 손상되면, 믿을 수 있는 루트 인증서로 서명되지 않은 인증서도 테스트를 통과할 수 있습니다. 이는 공격자가 다른 사용자나 상위 서버를 가장할 수 있는 가능성을 의미합니다.

2. 취약점에 노출되어 있는지 확인

NGINX에서 인증서 검증을 구성하고 OpenSSL의 취약한 버전을 사용 중인 경우, OpenSSL 설치를 업그레이드해야 합니다.

NGINX에서 사용하는 OpenSSL 버전을 확인하려면 nginx -v 명령을 실행하세요.

$ nginx -V
nginx version: nginx/1.9.3
built by clang 3.4.1 (tags/RELEASE_34/dot1-final 208032) 20140512
built with OpenSSL 1.0.2a 19 Mar 2015 (running with OpenSSL 1.0.2c 12 Jun 2015)

만약 문구에서 취약한 버전(1.0.2c, 1.0.2b, 1.0.1n, 또는 1.0.1o)이 명시되어 있다면 업그레이드가 필요합니다. NGINX 1.9.0 이전 버전에서는 nginx -v 명령이 버전을 보고하지 않습니다.

3. OpenSSL 업그레이드

NGINX는 일반적으로 운영 체제와 함께 제공되는 OpenSSL 버전을 사용합니다. 이 취약점은 매우 최근에 발생했기 때문에 대부분의 출시된 운영 체제 버전은 영향을 받지 않습니다. 필요한 경우 운영 체제 공급 업체의 지침을 따라 업데이트하십시오:

• CentOS – 상위 Red Hat 버전을 기반으로 하기 때문에 OpenSSL 영향을 받지 않습니다.
• Debian – Debian/testing 배포판이 영향을 받습니다.
• FreeBSD – 10.1-STABLE 버전이 잠재적으로 영향을 받을 수 있습니다.
• NGINX Plus Amazon 및 Azure 이미지 – 영향을 받지 않습니다.
• Oracle Linux – 상위 Red Hat 버전을 기반으로 하기 때문에 영향을 받지 않습니다.
• Red Hat – 영향을 받지 않습니다.
• SuSE – 영향을 받지 않습니다.
• Ubuntu – 현재 출시된 버전은 영향을 받지 않으며, 사전 출시 버전 15.10은 영향을 받습니다.

운영 체제 OpenSSL 라이브러리를 업그레이드한 후 NGINX 소프트웨어를 다시 시작하십시오.

NGINX를 직접 컴파일한 경우, 자체 라이브러리에 정적으로 링크했을 수 있으므로 운영 체제 라이브러리의 업데이트는 NGINX가 사용하는 버전에 영향을 주지 않을 수 있습니다.

nginx -v 의 출력은 사용한 컴파일 시간 옵션과 실행 중인 필드의 값이 일반적으로 운영 체제로 업데이트된 라이브러리 버전과 일치하지 않습니다(대신 링크한 버전입니다). 이 경우 취약점을 제거하기 위해 NGINX를 다시 컴파일하고 업데이트된 버전에 대해 링크해야 합니다.

아래 뉴스레터를 구독하고 NGINX와 NGINX STORE의 최신 정보들을 빠르게 전달 받아보세요.