□ 개요

• 2011년 2월 16일(한국시각), Oracle사는 자사 보안업데이트 발표 체계인 Critical Patch Update(CPU)를 통해 자사의 Java 관련 제품에 대한 보안업데이트를 발표[1]
• Oracle Java SE, Java for Business 보안업데이트 발표 이후, 관련 공격코드의 출현으로 인한 피해가 발생할 수 있으므로 Oracle Java 제품의 다중 취약점에 대한 보안업데이트를 강력히 권고
  ※ Java : 컴퓨터 운영체제와 상관없이 응용프로그램이 동작할 수 있도록 지원하는 기술

□ 설명

• 2011년 2월 Oracle CPU에서는 Oracle Java SE와 Java for Business 제품의 보안취약점 21개에 대한 보안업데이트를 발표함
  - 접근제한 우회, 정보 유출 및 조작, 서비스 거부 공격, 시스템 장악 등이 가능한 취약점 존재

□ 영향 받는 소프트웨어

• Java SE(Standard Edition):  
  - 윈도우, 솔라리스, 리눅스 환경에서 동작하는 JDK, JRE 6 Update 23 및 이전 버전
  - 솔라리스9 환경에서 동작하는 JDK 5.0 Update 27 및 이전 버전
  - 솔라리스8 환경에서 동작하는 SDK 1.4.2_29 및 이전 버전
• Java for Business :  
  - 윈도우, 솔라리스, 리눅스 환경에서 동작하는 JDK, JRE 6 Update 23 및 이전 버전
  - 윈도우, 솔라리스, 리눅스 환경에서 동작하는 JDK, JRE 5.0 Update 27 및 이전 버전
  - 윈도우, 솔라리스, 리눅스 환경에서 동작하는 SDK, JRE 1.4.2_29 및 이전 버전
  ※ 영향 받는 시스템의 상세 정보는 참고사이트[1]를 참조

□ 해결방안

• 개인사용자 경우, 설치된 제품의 최신 업데이트(Java SE 6 Update 24)를 다운로드[2] 받아 설치하거나 Java 자동업데이트 설정을 권고
  - “시작 > 설정 > 제어판”에서 Java 아이콘이 보이지 않으면 보안업데이트 대상 제품이 설치되어 있지 않는 것임으로 보안업데이트 설치할 필요 없음
• 기업사용자 경우, 해결방안으로서 "Oracle Java SE and Java for Business Critical Patch Update Advisory - February 2011" 문서를 검토하고 유지보수업체와의 협의/검토 후 보안업데이트 적용 요망[1]
• 각 기업 사정으로 보안업데이트 적용이 지연될 경우,
  - 백신 등 보안솔루션 최신업데이트 적용
  - 불필요한 계정을 삭제하고 디폴트 패스워드 변경
  - 방화벽을 이용한 접근 통제를 구현하여 사용자에게 허가되는 권한을 최소화함으로써, 공격으로 인해 발생될 영향을 제한
  - 영향을 받는 서비스에 대해서는 신뢰된 호스트 및 네트워크들만 액세스할 수 있도록 제한

□ 기타 문의사항

• 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

1. http://www.oracle.com/technetwork/topics/security/javacpufeb2011-304611.html
2. http://www.oracle.com/technetwork/java/javase/downloads/index.html