내가찾은 신대륙 넥스트라인

제목

Java 개발 및 실행환경 (JDK/JRE) 보안 업데이트 권고

작성일

2010-04-19 10:37:48

□ 개요
   o Java 개발 및 실행환경인 JDK/JRE 6 Update 10 이후 버전의 자바 배포 도구 (Java Deployment
      Toolkit) 플러그인과 ActiveX 컨트롤에서 매개변수로 전달되는 입력값 검증 오류 및
      Update 18 이후 버전의 자바 플러그인의 오류로 인해 원격코드실행 취약점이 발생 [1, 2, 4]
   o 공격자는 특수하게 조작된 웹 페이지로 사용자를 유도하여, 해당 시스템에서 악의적인
     Java 파일(JAR)을 실행할 수 있음 [2]
   o 해당 취약점을 이용하여 악성코드를 전파하는 사례[6]가 발견되어 주의가 요구됨
   o 관련취약점 :
     - Java Deployment Toolkit 취약점 (CVE-2010-0886)
     - New Java Plug-in 취약점 (CVE-2010-0887)

□ 해당 시스템
   o 영향 받는 소프트웨어 [4]
     - Java SE JDK/JRE 6 Update 10 ~ Update 19
     - Java for Business JDK/JRE 6 Update 10 ~ Update 19
       ※ Windows, Solaris, Linux 플랫폼에 관계없이 32비트 웹 브라우저에서 동작하는
          Java 제품에서 영향을 받음

□ 해결 방안
   o Java SE 또는 Java for Business JDK/JRE 6 Update 20을 설치 [3, 4]
     ※ Java 자동업데이트 설정권고: 제어판→Java→업데이트→"자동 업데이트 확인" 설정 [7]

□ 용어 정리
   o Java : Sun Microsystems(現 Oracle)에서 개발한 플랫폼 독립적인 객체 지향 프로그래밍
      언어로, 해당 언어 기반의 제품을 통칭하는 의미로도 사용됨
   o Java Deployment Toolkit : Java 응용 프로그램을 쉽게 배포할 수 있는 기능을 제공하는
      Netscape 호환 플러그인과 ActiveX 컨트롤 [5]
   o JDK(Java Development Kit) : Java 응용 프로그램을 개발하기 위한 도구
   o JRE(Java Runtime Environment) : Java 언어로 개발된 응용 프로그램의 실행 플랫폼
   o JAR(Java ARchive) : Java 응용 프로그램 및 라이브러리를 배포하기 위해 사용되는 실행
      가능한 파일 포맷

□ 참조사이트
[1] http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html
[2] http://www.kb.cert.org/vuls/id/886582
[3] http://www.java.com/ko/
[4] http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
[5] http://java.sun.com/javase/6/6u10faq.jsp#DT
[6] http://blogs.zdnet.com/security/?p=6161
[7] http://www.java.com/ko/download/help/java_update.xml


	국내 공개 웹 게시판(제로보드XE) 보안 업데이트 권고


	2010년 4월 Oracle의 Oracle Critical Patch Update 권고