화살표
보안패치보안관련 정보를 수집하여 고객님께 알려드리고 있습니다.
번호 제목 등록일
160 Oracle Java SE and Java for Business 보안업데이트권고 - 2010-04-02
2010-04-02
Oracle Java SE and Java for Business 보안업데이트 권고

□ 개요
ㅇ 2010년 3월 31일(한국시각), Oracle사는 자사 보안업데이트 발표 체계인 Critical Patch Update
(CPU)를 통해 자사의 Java 관련 제품에 대한 보안업데이트를 발표[1]
ㅇ Oracle Java SE and Java for Business 보안업데이트 발표 이후, 관련 공격코드의 출현으로
인한 피해가 발생할 수 있으므로 Oracle Java 제품의 다중 취약점에 대한 보안업데이트를 권고
※ Java : 컴퓨터 운영체제와 상관없이 응용프로그램이 동작할 수 있도록 지원하는 기술

□ 설명
ㅇ 2010년 3월 Oracle CPU에서는 Oracle Java SE와 Java for Business 제품의 보안취약점
27개에 대한 보안업데이트를 발표함
- 원격/로컬 공격을 통하여 사용 중인 컴퓨터를 공격하는데 악용될 가능성이 있는 취약점 및
컴 퓨터의 가용성 및 기밀성/무결성에 영향을 줄 수 있는 취약점 존재
- 보안업데이트가 적용되지 않은 컴퓨터는 해커의 공격으로 인해 악성코드 감염 등의 피해를
당할 수 있음

□ 해당 소프트웨어
ㅇ Java SE(Standard Edition):
- JDK and JRE 6 Update 18 이하 버젼 (Windows, Solaris, Linux)
- JDK 5.0 Update 23 이하 버젼 (Solaris)
- SDK 1.4.2_25 이하 버젼 (Solaris)
ㅇ Java for Business :
- JDK and JRE 6 Update 18 이하 버젼 (Windows, Solaris, Linux)
- JDK and JRE 5.0 Update 23 이하 버젼 (Windows, Solaris, Linux)
- SDK and JRE 1.4.2_25 이하 버젼 (Windows, Solaris, Linux)
※ 영향 받는 시스템의 상세 정보는 참고사이트[1]를 참조

□ 해결 방안
ㅇ 개인사용자 경우, 설치된 제품의 최신 업데이트(JDK 6 Update 19)를 다운로드[2] 받아
설치하거나 Java 자동업데이트 설정을 권고[3]
- "시작 > 설정 > 제어판"에서 Java 아이콘이 보이지 않으면 보안업데이트 대상 제품이 설치되어
있지 않는 것임으로 보안업데이트 설치할 필요 없음
ㅇ 기업사용자 경우, 해결방안으로서 "Oracle Java SE and Java for Business Critical Patch
Update Advisory - March 2010" 문서를 검토하고 유지보수업체와의 협의/검토 후 보안업데이트
적용 요망[1]
ㅇ 각 기업 사정으로 보안업데이트 적용이 지연될 경우,
- 백신 등 보안솔루션 최신업데이트 적용
- 불필요한 계정을 삭제하고 디폴트 패스워드 변경
- 방화벽을 이용한 접근 통제를 구현하여 사용자에게 허가되는 권한을 최소화함으로써, 공격으로
인해 발생될 영향을 제한
- 영향을 받는 서비스에 대해서는 신뢰된 호스트 및 네트워크들만 액세스할 수 있도록 제한

□ 참고사이트
[1] http://www.oracle.com/technology/deploy/security/critical-patch-updates/javacpumar2010.html
[2] http://java.sun.com/javase/downloads/widget/jdk6.jsp
[3] http://www.java.com/ko/download/help/java_update.xml

□ 참고
1. F.A.Q
ㅇ Java SE for Business와 Java SE의 다른 점은 무엇입니까?
- Java SE for Business 업데이트 및 릴리스는 Java SE 플랫폼에서 파생된 제품이며, 핵심 기술은
동일합니다. 단지 제품에 대한 지원, 제품 유지보수, 기업 배포 옵션 등이 다를 뿐입니다.
ㅇ 방화벽을 사용하여 외부에서 내부로의 접속을 차단해 놓은 경우에도 공격을 당할 수 있습니까?
- 외부로부터의 공격에는 비교적 안전하나 내부 사용자에 의한 권한 상승이 가능하므로
보안업데이트가 바람직합니다.
ㅇ 컴퓨터에서 기본적으로 생성되는 미사용 계정을 삭제하거나 비밀번호를 변경한 경우 보안
업데이트를 적용하지 않아도 됩니까?
- 미사용 기본계정을 삭제 또는 비밀번호를 변경한 경우에도 해당 취약점을 이용한 공격에
안전할 수 없으니 보안업데이트를 적용하시는 것이 바람직합니다.
ㅇ 보안업데이트 적용 시, 기존에 서비스하던 응용프로그램 안정성에는 문제가 없나요?
- Oracle 고객지원센터 및 유지보수업체 등을 통하여 사전 검증을 하고 업데이트를 적용하시는
것이 바람직합니다.

2. 기타 문의사항
ㅇ한국인터넷진흥원 인터넷침해대응센터 : 국번없이 118