몇 가지 OpenJDK 취약점 수정
최근 OpenJDK Java 런타임에서 사이드 채널 공격, 로그 파일에 대한 민감한 데이터 유출, 서비스 거부 또는 샌드박스 제한 우회를 초래할 수 있는 여러 가지 취약점이 발견되었습니다. 영향을 받는 버전은 21.0.1, 17.0.9, 11.0.21, 8u392 및 이전 버전입니다.
이 문서에서는 이러한 취약점의 세부 사항을 살펴보고 Java 배포에 미치는 영향을 이해합니다.
심각도가 높은 OpenJDK 취약점
CVE-2024-20918 (CVSS 3 심각도 점수: 7.4 높음)
이 결함으로 인해 여러 프로토콜을 통해 네트워크에 액세스할 수 있는 인증되지 않은 공격자가 Oracle Java SE, Oracle GraalVM for JDK 및 Oracle GraalVM Enterprise Edition을 손상시킬 수 있습니다. 익스플로잇에 성공하면 중요한 데이터에 무단으로 액세스하고 데이터를 수정 또는 삭제할 수 있게 됩니다. 이 취약점은 웹 서비스 등 지정된 구성 요소의 API를 통해 악용될 수 있으며, 특히 인터넷에서 신뢰할 수 없는 코드를 실행하는 샌드박스 환경에서 Java 배포에 영향을 미칩니다.
CVE-2024-20926 (CVSS 3 심각도 점수: 5.9 중간)
또한 이 OpenJDK 취약점은 네트워크 기반 공격자에게 Oracle Java SE, Oracle GraalVM for JDK 및 Oracle GraalVM Enterprise Edition에 대한 액세스 권한을 부여하여 잠재적으로 무단 데이터 액세스를 허용할 수 있습니다. 이 취약점은 웹 서비스와 같은 API를 악용하며, 특히 보안을 위해 Java 샌드박스에 의존하는 신뢰할 수 없는 인터넷 코드를 실행하는 샌드박스 환경에서 Java 배포에 영향을 미칩니다.
CVE-2024-20932 (CVSS 3 심각도 점수: 7.5 높음)
여러 프로토콜을 통해 쉽게 익스플로잇할 수 있는 이 취약점을 통해 인증되지 않은 공격자는 Oracle Java SE, Oracle GraalVM for JDK 및 Oracle GraalVM Enterprise Edition을 손상시킬 수 있습니다. 이를 악용하면 중요 데이터에 대한 무단 액세스 및 무단 수정으로 이어질 수 있습니다. 특히 신뢰할 수 없는 코드를 실행하는 Java Web Start 애플리케이션 또는 Java 애플릿과 같은 샌드박스 환경에서 Java 배포에 영향을 미칩니다. 서버에서와 같이 신뢰할 수 있는 코드를 실행하는 것으로 제한된 Java 배포에는 영향을 미치지 않습니다.
CVE-2024-20952 (CVSS 3 심각도 점수: 7.4 높음)
익스플로잇하기 어려운 이 취약점은 여러 프로토콜을 통해 네트워크에 액세스할 수 있는 인증되지 않은 공격자가 Oracle Java SE, Oracle GraalVM for JDK 및 Oracle GraalVM Enterprise Edition을 손상시킬 수 있습니다. 이로 인해 중요 데이터에 대한 무단 액세스, 생성, 삭제 또는 수정이 발생할 수 있습니다. 특히, 신뢰할 수 없는 코드를 로드하는 샌드박스가 적용된 Java Web Start 애플리케이션 또는 애플릿을 실행하는 클라이언트의 Java 배포에 영향을 미칩니다. 신뢰할 수 있는 코드만 실행하는 서버의 Java 배포에는 영향을 미치지 않습니다.
중간 심각도 OpenJDK 취약점
CVE-2024-20919 (CVSS 3 심각도 점수: 5.9 중간)
이 취약점으로 인해 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 Oracle Java SE, Oracle GraalVM for JDK 및 Oracle GraalVM Enterprise Edition을 잠재적으로 손상시킬 수 있습니다. 이를 악용하면 무단 데이터 액세스 또는 영향을 받는 시스템에 대한 완전한 제어 권한으로 이어질 수 있습니다. 이러한 위험은 특히 신뢰할 수 없는 코드를 실행하는 샌드박스 환경의 Java 배포로 확대됩니다.
CVE-2024-20921 (CVSS 3 심각도 점수: 5.9 중간)
인증되지 않은 공격자는 이 취약점을 통해 Oracle Java SE, Oracle GraalVM for JDK 및 Oracle GraalVM Enterprise Edition을 손상시켜 중요한 데이터에 대한 무단 액세스를 허용할 수 있습니다. API를 통해 악용될 수 있으며, 특히 신뢰할 수 없는 인터넷 소스 코드를 실행하는 샌드박스 환경에서 Java 배포에 영향을 미칩니다.
CVE-2024-20945 (CVSS 3 심각도 점수: 4.7 중간)
익스플로잇하기 어려운 이 취약점은 인프라 로그인 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Java SE, Oracle GraalVM for JDK 및 Oracle GraalVM Enterprise Edition을 손상시킬 수 있습니다. 익스플로잇에 성공하면 중요 데이터에 대한 무단 액세스 또는 전체 데이터 액세스로 이어질 수 있습니다. 이 취약점은 데이터를 제공하는 웹 서비스 등 컴포넌트 내의 API를 통해 악용될 수 있습니다. 이 취약점은 특히 신뢰할 수 없는 코드를 실행하는 Java 웹 스타트 애플리케이션이나 Java 애플릿과 같은 샌드박스 환경의 Java 배포에도 영향을 미칩니다.
결론
OpenJDK 보안 그룹은 새 릴리스에서 이러한 취약점을 해결했습니다. 기존 설치는 가능한 한 빨리 업그레이드하는 것이 좋습니다. 또한 Debian 보안 팀은 이러한 OpenJDK 취약점에 대한 패치를 발표하여 openjdk-11 및 openjdk-17 패키지에서 해당 취약점을 해결했습니다. 관련 위험을 완화하려면 Debian에서 openjdk-11 및 openjdk-17 패키지를 업그레이드하는 것이 좋습니다.
Linux 시스템에서 보안 패치를 자동화하려면 TuxCare의 KernelCare Enterprise 라이브 패치 솔루션을 활용할 수 있습니다. 이 솔루션은 시스템을 재부팅할 필요 없이 실행 중인 커널에 모든 중요 업데이트를 배포합니다. 라이브 패칭에 대해 자세히 알아보고 Linux 커널 취약성을 완화하는 데 어떻게 도움이 되는지 알아보세요.
출처: OpenJDK 취약점 자문, 국가 취약점 데이터베이스.