현재 Scientific Linux 6.3에 다음이 설치되어 있습니다.
[root@localhost ~]# rpm -qa | egrep -i 'java|jre'
java-1.7.0-openjdk-1.7.0.9-2.3.7.1.el6_3.x86_64
java-1.6.0-openjdk-1.6.0.0-1.56.1.11.8.el6_3.x86_64
tzdata-java-2012j-1.el6.noarch
[root@localhost ~]#
최근 Java 취약점으로부터 보호하려면 제거해야 합니까? (java-1.6.0-openjdk를 제거하려고 하면 libreoffice도 제거하려고 합니다..)
아니면 이러한 취약점이 Java 웹브라우저 플러그인과만 관련되어 있습니까?
답변1
jdks의 최신 취약점(2013년 2월 공개)을 참고한다면 그럴 필요는 없습니다.
브라우저에서 Java 플러그인을 비활성화하면 됩니다.
답변2
예, 대부분의 취약점은 웹 브라우저 플러그인과 관련되어 있습니다. 대부분의 경우(모두?) 이러한 약점을 악용하는 악성 Java 코드를 (적극적으로) 실행해야 합니다.
공격자의 관점에서 볼 때 가장 쉬운 방법은 해당 코드를 네트워크에 넣고 사용자를 네트워크로 유인하여 코드를 실행할 수 있도록 하는 것입니다.
보다 미묘한 접근 방식은 일부 Java 코드를 애플리케이션에 업로드하고 해당 코드를 실행하도록 하는 것입니다(코드 삽입과 같은 다른 약점을 이용하여).
따라서 코드를 실행할 수 있는 외부에 노출된 애플리케이션이 실행 중이 아니거나 브라우저가 설치되어 있지 않다면 꽤 안전할 것입니다.