SSL 버전 3은 더 이상 안전하지 않습니다. 최근 SSL v3 프로토콜의 새로운 취약점인 '푸들 공격' 취약점을 발견했습니다. 카우치베이스는 제품의 보안을 중요하게 생각하기 때문에 취약점으로 인해 발생할 수 있는 위험과 취해야 할 조치를 알려드리고 싶었습니다.
이 버그의 내용은 무엇인가요?
그리고 푸들 공격 는 SSL 3 프로토콜의 CBC 암호화 체계의 문제입니다. 현재 많은 시스템이 TLS(SSL의 후속 프로토콜)를 사용하고 있지만, 푸들 공격은 일반적으로 클라이언트가 암호화 프로토콜을 SSL 3.0으로 다운그레이드할 때 발생합니다.
Couchbase 서버 및 클라이언트에 대한 영향 평가
Couchbase의 클러스터 관리자는 다음과 같이 작성됩니다. Erlang. Erlang의 SSL 구현(XDCR 복제에 사용)은 버전 다운그레이드를 구현하지 않지만(푸들로부터 안전), 여전히 SSL 3을 비활성화하지는 않습니다. 따라서 Couchbase 3.0.1에서는 관리, 보기 및 memcached 포트에 대해 SSLv3을 비활성화합니다. 비활성화하는 코드는 이미 야간 빌드에 포함되어 있지만 아직 작업 중이며 공식적으로 출시되기 전에 품질 게이트를 통과해야 합니다.
지금이야말로 여전히 SSL v3에 의존하는 프론트엔드 클라이언트 앱 및 기타 인프라 구성 요소를 어떻게 업그레이드할지 고민할 때입니다. libcouchbase 클라이언트(및 루비, PHP, 파이썬 등 libcouchbase에 따라 SDK)의 경우, 다음과 같이 업그레이드합니다. 라이브러리카우치베이스 2.4.3 는 TLSv1 이상의 프로토콜만 사용하도록 합니다. 2.0 Java 클라이언트는 서버와 통신할 때 기본적으로 TLS를 사용하며, 2.0 .NET GA 클라이언트는 기본적으로 TLS를 사용합니다.
모바일 제품인 Couchbase Lite 및 동기화 게이트웨이의 경우 -
-
iOS용 카우치베이스 라이트 1.0.3 이미 SSLv3를 비활성화했습니다.
-
동기화 게이트웨이는 1.0.3 릴리스에서 SSL을 비활성화합니다.
-
1.0.4 릴리스에서는 Java/Android 및 C#/.NET에서 SSL이 비활성화됩니다.
스택 보안
전체 스택을 보호하기 위해 다음과 같은 다른 사항도 확인할 수 있습니다.
일반적으로 SSL 구현은 Apache, nginx, HAProxy와 같은 타사 프록시 서버에 있습니다. 카우치베이스 서버가 SSL v3를 사용하는 이러한 서버 뒤에 있는 경우 그에 따라 서버를 패치하고 이러한 서비스를 다시 시작해야 합니다. 다른 서버 및 브라우저에서 푸들을 처리하는 방법에 대한 자세한 안내는 푸들 처리 방법을 참조하세요, 로 이동하여 스콧 헬름의 블로그 게시물.
Amazon EC2에서 Couchbase를 실행하는 경우, 최신 Amazon 보안 권고 사항을 확인하는 것이 좋습니다. 여기.
푸들 버그에 대한 자세한 정보가 필요하신가요?
-
'푸들 공격'에 대한 Google의 보안 자문 문서 - Google의 보안 자문 문서
https://www.openssl.org/~bodo/ssl-poodle.pdf -
Erlang 커뮤니티에서 사용자들이 자주 묻는 질문 - 다음과 같은 질문이 있습니다. http://erlang.org/pipermail/erlang-questions/2014-October/081315.html
여러분의 지속적인 성원에 감사드리며, 항상 안전에 유의하세요!
