보안은 모든 기업 제품의 핵심이 되어야 하며, 저희는 제품의 보안을 중요하게 생각합니다. 최근 심각한 취약성 (일명 하트블리드)가 OpenSSL 라이브러리에서 발견되었으며, CouchBase Server에는 일부 암호화 구성 요소가 있으므로 이 취약점으로 인해 발생하는 위험과 CouchBase가 영향을 받지 않는 이유를 알려드리고자 합니다.

이 버그의 내용은 무엇인가요?

그리고 심장 출혈 버그 은 OpenSSL의 하트비트 확장 내에 있습니다. (RFC6520).

카우치베이스 서버에 대한 취약성 평가

Couchbase의 클러스터 관리자는 다음과 같이 작성됩니다. Erlang. 클러스터 관리자에서 OpenSSL은 TLS/SSL 핸드셰이크 로직에 사용되지 않습니다. 대신, TLS/SSL 로직은 Erlang에서 구현됩니다(출처).

카우치베이스 서버는 취약한 OpenSSL의 기능을 활용하지 않기 때문에, 다음과 같습니다. NOT 이 버그의 영향을 받습니다. 영향을 받는 Couchbase 버전(최신 버전 포함)은 없습니다.

스택 보안

Couchbase는 하트블리드 버그로부터 보호되지만 앱 스택의 일부로 실행되는 다른 서비스도 고려할 수 있습니다.

일반적으로 OpenSSL 구현은 Apache, nginx, HAProxy와 같은 타사 프록시 서버에 있습니다. 카우치베이스 서버가 OpenSSL 1.0.1 - 1.0.1f를 사용하는 서버 뒤에 있는 경우 프록시 서버를 패치하고 이러한 서비스를 다시 시작해야 합니다. 프런트엔드 서버의 SSL 인증서를 새로 고치는 것도 고려해 볼 수 있습니다.

Amazon EC2에서 Couchbase를 실행하는 경우 최신 Amazon 보안 게시판을 확인하는 것이 좋습니다. 여기.

심장 출혈 버그에 대한 자세한 정보가 필요하신가요?

  1. OpenSSL의 원래 보안 권고 사항-. https://www.openssl.org/news/secadv_20140407.txt

  2. Erlang 커뮤니티에서 사용자들이 자주 묻는 질문 - 다음과 같은 질문이 있습니다.
    http://erlang.org/pipermail/erlang-questions/2014-April/078538.html
    http://erlang.org/pipermail/erlang-questions/2014-April/078537.html

여러분의 지속적인 성원에 감사드리며, 항상 안전에 유의하세요!

작성자

게시자 돈 핀토, 수석 제품 관리자, Couchbase

돈 핀토는 Couchbase의 수석 제품 관리자로 현재 Couchbase Server의 기능을 발전시키는 데 주력하고 있습니다. 데이터 기술에 대한 열정이 대단한 그는 과거에 기술 블로그와 백서 등 Couchbase Server에 관한 여러 기사를 저술한 바 있습니다. Couchbase에 입사하기 전에는 IBM에서 수년간 근무하며 DB2 정보 관리 그룹에서 소프트웨어 개발자의 역할을 수행했고, 가장 최근에는 Microsoft의 SQL Server 팀에서 프로그램 관리자로 근무했습니다. Don은 캐나다 토론토 대학교에서 컴퓨터 공학 석사 학위와 컴퓨터 공학 학사 학위를 받았습니다.

모든 게시물

댓글 하나

  1. 돈 핀토 4월 11, 2014에서 4:36 오전

    Microsoft Windows 운영 체제에서 취약한 라이브러리를 검사하는 특정 도구는 하트블리드 문제에 취약한 Couchbase Server 버전을 식별할 수 있습니다. 카우치베이스 서버는 취약한 OpenSSL의 기능을 활용하지 않으므로 이 버그의 영향을 받지 않습니다.

댓글 남기기