연구원 : 데스크톱, 서버용 Java Runtime Environment의 심각한 결함

폴란드 보안 연구 기관의 Java 취약성 사냥꾼 인 Security Explorations는 최신 데스크톱 및 서버 버전에 영향을주는 새로운 취약점을 발견했다고 주장합니다. 이 취약점은 Java Reflection API 구성 요소에 있으며 Java 보안 샌드 박스를 완전히 우회하여 컴퓨터에서 임의의 코드를 실행할 수 있습니다. Security Explorations의 CEO 인 Adam Gowdiak는 다음과 같이 말했습니다. Full Disclosure 메일 링리스트로 보낸 이메일. 이번 결함은 지난 화요일 Oracle이 발표 한 Java 7 Update 21과 새로운 Server JRE 패키지가 동시에 발표 된 것을 포함하여 Java 7의 모든 버전에 영향을줍니다.

이름에서 알 수 있듯이 Server JRE는 버전입니다 Java Runtime Environment는 Java 서버 배포 용으로 설계되었습니다. 오라클에 따르면 서버 JRE에는 웹 브라우저, 브라우저, 자동 업데이트 구성 요소 또는 일반 JRE 패키지에 들어있는 설치 프로그램에 대한 빈번한 대상 인 Java 브라우저 플러그인이 포함되어 있지 않습니다.

[추가 정보: Windows PC에서 맬웨어 제거]

오라클은 취약한 구성 요소의 API (응용 프로그램 프로그래밍 인터페이스)에 악의적 인 입력을 제공하여 Java 취약점이 서버 배포에서도 악용 될 수 있음을 알고 있지만 일반적으로 Java 고다 딕 (Gowdiak)은 화요일에 이메일을 통해 취약점이 Java 브라우저 플러그인에만 영향을 미치거나 서버상의 Java 결함에 대한 개발 시나리오가 불가능할 것이라고 말했다. "우리는 Java의 영향과 관련하여 오라클의 주장이 잘못되었다는 사실을 사용자들에게 알리려고했다. SE 취약점이 있다고 Gowdiak 씨는 말했다. "오라클이 자바 플러그인에만 영향을 미치는 것으로 평가 된 버그가 서버에도 영향을 미칠 수 있음을 입증했다."9 월 2 일 Security Explorations는 플러그인 취약성으로 분류 된 Java 취약성에 대한 개념 증명 (proof-of- GDS는 RMI (원격 메소드 호출) 프로토콜을 사용하여 서버에서 Java를 공격하는 데 사용될 수 있다고 밝혔다. 오라클은 지난 주 자바 업데이트에서 RMI 공격 패턴을 다루었지만 서버에서 자바 배치를 공격하는 다른 방법들이 존재한다고 그는 지적했다.

Security Explorations 연구원은 Server JRE에 대해 발견 한 새로운 취약점의 성공적인 이용을 확인하지 못했다. 그러나 서버에 신뢰할 수없는 Java 코드를로드하거나 실행하는 데 사용할 수있는 알려진 Java API 및 구성 요소를 나열했습니다.

오라클의 "Java 용 보안 코딩 지침"의 가이드 라인 3-8에 언급 된 구성 요소 중 하나에 공격 경로가있는 경우 며 "Java 서버 배치는 오라클에보고 된 것과 같은 취약점을 통해 공격받을 수 있다고 Gowdiak은 말했다.

연구원은 Reflection API가 Java 7의 보안 문제에 대해 구현되고 감사되는 방식에 문제를 제기했다. 지금까지 여러 가지 취약점의 근원이되었습니다. "리플렉션 API는 자바 보안 모델에 잘 맞지 않는다. 부적절하게 사용하면 보안 문제가 발생할 수있다."고 말했다.이 새로운 결함은 반사 API 약점의 전형적인 예라고 Gowdiak 씨는 말했다. 보안 취약점으로 리플렉션 API와 관련된 일반적인 보안 문제가 오라클에보고 된 지 1 년 후 Java 7 코드에이 취약점이 존재하지 않아야한다고 그는 말했습니다.