울지않는벌새 : Security, Movie & Society

업데이트 : Java SE Runtime Environment(JRE) 6 Update 26

벌새::Security
Oracle 업체에서 제공하는 Java SE 제품군에서 발견된 보안 취약점 및 버그를 수정한 Java SE Runtime Environment(JRE) 6 Update 26 버전이 공개되었습니다.

이번 업데이트에서는 17개의 다중 보안 취약점 패치와 함께 java.lang.ClassCircularityError 때문에 Filemaker application을 동작할 수 없는 버그를 수정하였습니다.


[영향을 받는 소프트웨어 : Java SE(Standard Edition)]

■ JDK & JRE 6 Update 25 버전 및 하위 버전
■ JDK 5.0 Update 29 버전 및 하위 버전
■ SDK 1.4.2_31 버전 및 하위 버전


해당 취약점(CVE-2011-0862, CVE-2011-0873, CVE-2011-0815, CVE-2011-0817, CVE-2011-0863, CVE-2011-0864, CVE-2011-0802, CVE-2011-0814, CVE-2011-0871, CVE-2011-0786, CVE-2011-0788, CVE-2011-0866, CVE-2011-0868, CVE-2011-0872, CVE-2011-0867, CVE-2011-0869, CVE-2011-0865)을 이용하여 공격자는 사용자 ID, 비밀번호의 인증없이 네트워크에 침입하여 원격 코드 실행이 가능합니다.

이번 취약점에 대한 개략적인 내용은 다음과 같습니다.

1. Fix addresses multiple instances of this vulnerability.
This vulnerability can be exploited through Untrusted Java Web Start applications and Untrusted Java applets. It can also be exploited by supplying data to APIs in the specified Component without using untrusted Java Web Start applications or untrusted Java applets, such as through a web service.

2. Applies to client and server deployments of Java.
This vulnerability can be exploited through Untrusted Java Web Start applications and Untrusted Java applets. It can also be exploited by supplying data to APIs in the specified Component without using untrusted Java Web Start applications or untrusted Java applets, such as through a web service.

3. Applies to client deployments of Java only.
This vulnerability can be exploited only through Untrusted Java Web Start applications and Untrusted Java applets.(Untrusted Java Web Start applications and untrusted applets run in the Java sandbox with limited privileges.)

4. Applies to server deployments of Java.
This vulnerability can only be exploited by supplying data to APIs in the specified Component without using Untrusted Java Web Start applications or Untrusted Java applets, such as through a web service.

참고로 Java가 설치된 환경에서는 그림과 같이 [제어판 - 프로그램 - Java] 항목을 통해 업데이트 및 버전 확인이 가능합니다.

이 중에서 사용자 PC에 설치된 Java Runtime 버전을 체크하여 보안 취약점을 가진 하위 버전이 포함되어 있는 경우에는 반드시 제어판에서 삭제를 하시고 이용하시기 바랍니다.

해당 Java 플러그인은 특정 응용 프로그램(예, OpenOffice.org) 또는 특정 인터넷 사이트에서 제공하는 콘텐츠를 구현하기 위해 설치되므로 JRE가 설치된 PC에서는 반드시 최신 버전으로 업데이트를 하시고 이용하시기 바랍니다.