처음으로

정보보안기사

3회

2. 다음은 HeartBleed 취약점에 대한 설명이다. 다음 질문에 답하시오
CVE-2014-0160로 명명된 이 취약점은 통신 구간 암호화를 위해 
사용하는 OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 
확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이 
검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크기의 데이터를
외부에서 아무런 제한 없이 탈취할 수 있는 취약점이다.

1) 어떤 프로토콜의 취약점인가?
2) 취약점 영향받는 버전은

*해설

Heartbleed
반환 받을 크기 지정 시 보낸 메세지보다 훨씬 크게 지정(최대 64KB)하여 보낼 수 있는 취약점이 존재하였다.
1KB를 보내면서 64KB를 요청 할 경우 나머지 63KB는 메모리에 있는 임의 데이터가 보내진다.
위와 같은 동작을 반복하면 메모리상에 흐르는 임의 데이터를 지속적으로 탈취할 수 있다.
해설보기
정답보기
<<이전
다음>>
목록
삭제문의:roykimface@gmail.com
서버에 요청 중입니다. 잠시만 기다려 주십시오...