울지않는벌새 : Security, Movie & Society

Oracle Java 제로데이 취약점 : CVE-2010-4476 (2011.2.9)

벌새::Security

Oracle 업체에서 서비스하는 Oracle Java SE, Oracle Java For Business 제품군에서 새로운 제로데이(0-Day) 취약점이 발견되었으며, 일부 인터넷 사이트에서 취약점 관련 코드가 공개되었다는 소식입니다.

해당 취약점(CVE-2010-4476)은 Java Runtime Environment 구성 요소 관련 취약점으로 악의적인 공격자가 취약한 서버군에 DoS(Denial of Service)를 수행하여 네트워크 공격이 가능한 것으로 알려져 있습니다.


[영향을 받는 소프트웨어]

● Java SE(Standard Edition)

JDK & JRE 6 Update 23 버전 및 하위 버전 (Windows, Solaris, Linux)
JDK 5.0 Update 27 버전 및 하위 버전 (Solaris 9)
SDK 1.4.2_29 버전 및 하위 버전 (Solaris 8)

● Java for Business

JDK & JRE 6 Update 23 버전 및 하위 버전 (Windows, Solaris, Linux)
JDK & JRE 5.0 Update 27 버전 및 하위 버전 (Windows, Solaris, Linux)
SDK & JRE 1.4.2_29 버전 및 하위 버전 (Windows, Solaris, Linux)


해당 취약점에 대한 보안 패치(JRE 6 Update 24)는 2011년 2월 15일(미국 시간 기준)경에 공개될 예정이므로 참고하시기 바랍니다.

해당 취약점은 일반적으로 악의적으로 변조된 인터넷 사이트 방문시 Java 플러그인 동작을 유발하는 과정에서 감염으로 연결될 수 있으므로 신뢰할 수 없는 사이트는 방문하지 않도록 주의하시기 바랍니다.