제목 | Java 개발 및 실행환경 (JDK/JRE) 보안 업데이트 권고 |
---|---|
등록일 | 2010-04-19 오후 4:18:00 |
(주)서버이즈 보안팀에서 알려드립니다. Java 개발 및 실행환경에 대한 취약점에 대한 패치가 발표되었으니 개발자 분들 께서는 확인하시고 패치 꼭 부탁드립니다. 감사합니다. □ 개요 o Java 개발 및 실행환경인 JDK/JRE 6 Update 10 이후 버전의 자바 배포 도구 (Java Deployment Toolkit) 플러그인과 ActiveX 컨트롤에서 매개변수로 전달되는 입력값 검증 오류 및 Update 18 이후 버전의 자바 플러그인의 오류로 인해 원격코드실행 취약점이 발생 [1, 2, 4] o 공격자는 특수하게 조작된 웹 페이지로 사용자를 유도하여, 해당 시스템에서 악의적인 Java 파일(JAR)을 실행할 수 있음 [2] o 해당 취약점을 이용하여 악성코드를 전파하는 사례[6]가 발견되어 주의가 요구됨 o 관련취약점 : - Java Deployment Toolkit 취약점 (CVE-2010-0886) - New Java Plug-in 취약점 (CVE-2010-0887) □ 해당 시스템 o 영향 받는 소프트웨어 [4] - Java SE JDK/JRE 6 Update 10 ~ Update 19 - Java for Business JDK/JRE 6 Update 10 ~ Update 19 ※ Windows, Solaris, Linux 플랫폼에 관계없이 32비트 웹 브라우저에서 동작하는 Java 제품에서 영향을 받음 □ 해결 방안 o Java SE 또는 Java for Business JDK/JRE 6 Update 20을 설치 [3, 4] ※ Java 자동업데이트 설정권고: 제어판→Java→업데이트→"자동 업데이트 확인" 설정 [7] □ 용어 정리 o Java : Sun Microsystems(現 Oracle)에서 개발한 플랫폼 독립적인 객체 지향 프로그래밍 언어로, 해당 언어 기반의 제품을 통칭하는 의미로도 사용됨 o Java Deployment Toolkit : Java 응용 프로그램을 쉽게 배포할 수 있는 기능을 제공하는 Netscape 호환 플러그인과 ActiveX 컨트롤 [5] o JDK(Java Development Kit) : Java 응용 프로그램을 개발하기 위한 도구 o JRE(Java Runtime Environment) : Java 언어로 개발된 응용 프로그램의 실행 플랫폼 o JAR(Java ARchive) : Java 응용 프로그램 및 라이브러리를 배포하기 위해 사용되는 실행 가능한 파일 포맷 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 □ 참조사이트 [1] http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html [2] http://www.kb.cert.org/vuls/id/886582 [3] http://www.java.com/ko/ [4] http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html [5] http://java.sun.com/javase/6/6u10faq.jsp#DT [6] http://blogs.zdnet.com/security/?p=6161 [7] http://www.java.com/ko/download/help/java_update.xml 참조 : 인터넷침해대응센터 |
다음글 | 국내 공개 웹 게시판(제로보드XE) 보안 업데이트 권고 |
---|---|
이전글 | 2010년 4월 Oracle의 Oracle Critical Patch Update 권고 |