서브타이틀
  • : 고객센터 > 보안 업데이트
  • 제목 Java 개발 및 실행환경 (JDK/JRE) 보안 업데이트 권고
    등록일 2010-04-19 오후 4:18:00

    (주)서버이즈 보안팀에서 알려드립니다.

    Java 개발 및 실행환경에 대한 취약점에 대한 패치가 발표되었으니 개발자 분들 께서는 확인하시고 패치 꼭 부탁드립니다.

    감사합니다.



    □ 개요
    o Java 개발 및 실행환경인 JDK/JRE 6 Update 10 이후 버전의 자바 배포 도구 (Java Deployment
    Toolkit) 플러그인과 ActiveX 컨트롤에서 매개변수로 전달되는 입력값 검증 오류 및
    Update 18 이후 버전의 자바 플러그인의 오류로 인해 원격코드실행 취약점이 발생 [1, 2, 4]
    o 공격자는 특수하게 조작된 웹 페이지로 사용자를 유도하여, 해당 시스템에서 악의적인
    Java 파일(JAR)을 실행할 수 있음 [2]
    o 해당 취약점을 이용하여 악성코드를 전파하는 사례[6]가 발견되어 주의가 요구됨
    o 관련취약점 :
    - Java Deployment Toolkit 취약점 (CVE-2010-0886)
    - New Java Plug-in 취약점 (CVE-2010-0887)

    □ 해당 시스템
    o 영향 받는 소프트웨어 [4]
    - Java SE JDK/JRE 6 Update 10 ~ Update 19
    - Java for Business JDK/JRE 6 Update 10 ~ Update 19
    ※ Windows, Solaris, Linux 플랫폼에 관계없이 32비트 웹 브라우저에서 동작하는
    Java 제품에서 영향을 받음

    □ 해결 방안
    o Java SE 또는 Java for Business JDK/JRE 6 Update 20을 설치 [3, 4]
    ※ Java 자동업데이트 설정권고: 제어판→Java→업데이트→"자동 업데이트 확인" 설정 [7]

    □ 용어 정리
    o Java : Sun Microsystems(現 Oracle)에서 개발한 플랫폼 독립적인 객체 지향 프로그래밍
    언어로, 해당 언어 기반의 제품을 통칭하는 의미로도 사용됨
    o Java Deployment Toolkit : Java 응용 프로그램을 쉽게 배포할 수 있는 기능을 제공하는
    Netscape 호환 플러그인과 ActiveX 컨트롤 [5]
    o JDK(Java Development Kit) : Java 응용 프로그램을 개발하기 위한 도구
    o JRE(Java Runtime Environment) : Java 언어로 개발된 응용 프로그램의 실행 플랫폼
    o JAR(Java ARchive) : Java 응용 프로그램 및 라이브러리를 배포하기 위해 사용되는 실행
    가능한 파일 포맷

    □ 기타 문의사항
    o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

    □ 참조사이트
    [1] http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html
    [2] http://www.kb.cert.org/vuls/id/886582
    [3] http://www.java.com/ko/
    [4] http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
    [5] http://java.sun.com/javase/6/6u10faq.jsp#DT
    [6] http://blogs.zdnet.com/security/?p=6161
    [7] http://www.java.com/ko/download/help/java_update.xml

    참조 : 인터넷침해대응센터
  • 다음글 국내 공개 웹 게시판(제로보드XE) 보안 업데이트 권고
    이전글 2010년 4월 Oracle의 Oracle Critical Patch Update 권고