Java 개발 및 실행환경 (JDK/JRE) 보안 업데이트 권고
krcert에서 보안공지가 뜬 내역입니다. 요즘 자바런타임(JRE)을 사용하는 경우가 늘어나고 있습니다. 서버에서도 많이 쓰이고 있는 것이 현실이구요. 윈도우보안패치 말고도 이런 어플리케이션 취약점을 통해 시스템이 해킹되는 사례가 늘어나고있어서 사용자들의 주의가 요구되고 있습니다. 윈도우보안패치만 하면 안전하다고 생각하던 시대는 지난 느낌이 듭니다. ㅠㅠ
인터넷 침해대응센타 (KrCert) 사이트: htttp://www.krcert.or.kr/
▶ 개요
o Java 개발 및 실행환경인 JDK/JRE 6 Update 10 이후 버전의 자바 배포 도구 (Java Deployment
Toolkit) 플러그인과 ActiveX 컨트롤에서 매개변수로 전달되는 입력값 검증 오류 및
Update 18 이후 버전의 자바 플러그인의 오류로 인해 원격코드실행 취약점이 발생 [1, 2, 4]
o 공격자는 특수하게 조작된 웹 페이지로 사용자를 유도하여, 해당 시스템에서
악의적인 Java 파일(JAR)을 실행할 수 있음 [2]
o 해당 취약점을 이용하여 악성코드를 전파하는 사례[6]가 발견되어 주의가 요구됨
o 관련취약점 :
- Java Deployment Toolkit 취약점 (CVE-2010-0886)
- New Java Plug-in 취약점 (CVE-2010-0887)
▶ 해당 시스템
o 영향 받는 소프트웨어 [4]
- Java SE JDK/JRE 6 Update 10 ~ Update 19
- Java for Business JDK/JRE 6 Update 10 ~ Update 19
※ Windows, Solaris, Linux 플랫폼에 관계없이 32비트 웹 브라우저에서 동작하는
Java 제품에서 영향을 받음
▶ 해결 방안
o Java SE 또는 Java for Business JDK/JRE 6 Update 20을 설치 [3, 4]
※ Java 자동업데이트 설정권고: 제어판→Java→업데이트→"자동 업데이트 확인" 설정 [7]
<< 자바업데이트 사이트 >>
▶ 용어 정리
o Java : Sun Microsystems(現 Oracle)에서 개발한 플랫폼 독립적인 객체 지향 프로그래밍
언어로, 해당 언어 기반의 제품을 통칭하는 의미로도 사용됨
o Java Deployment Toolkit : Java 응용 프로그램을 쉽게 배포할 수 있는 기능을 제공하는
Netscape 호환 플러그인과 ActiveX 컨트롤 [5]
o JDK(Java Development Kit) : Java 응용 프로그램을 개발하기 위한 도구
o JRE(Java Runtime Environment) : Java 언어로 개발된 응용 프로그램의 실행 플랫폼
o JAR(Java ARchive) : Java 응용 프로그램 및 라이브러리를 배포하기 위해 사용되는 실행
가능한 파일 포맷
▶ 문의처
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
▶ 참조 사이트
[1] http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html
[2] http://www.kb.cert.org/vuls/id/886582
[3] http://www.java.com/ko/
[4] http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
[5] http://java.sun.com/javase/6/6u10faq.jsp#DT
[6] http://blogs.zdnet.com/security/?p=6161
[7] http://www.java.com/ko/download/help/java_update.xml