자바의 Denial of Service (DOS) 공격 노출이 JRE/JDK hang (CVE-2010-4476)을 발생

Vulnerability Details

이 보안 경고는 보안 문제 CVE-2010-4476에 관한 내용을 다루고 있습니다.


이 취약점은 Java Runtime Environment의 행 (hang), 무한 룹 (loop), 깨짐 (Crash)을 야기시켜 denial of service에 노출됩니다. 만약 숫자가 과학적 기수법(324 소수 자리)에 의해서 작성되지 않을 경우 이와 같은 행이 일어날수 있습니다. 어플리케이션 서버가 이 보안공격에 노출 되는 것 이외에도 Double.parseDouble 메서드를 사용하는 3rd party 또는 직접 개발한 자바프로그램 역시 이 보안위협에 노출됩니다.

(Java Runtime Environment가 "2.2250738585072012e-308"을 이진법의 소수로 변경할때 행이 발생합니다).

이 문제는 IBM이 지원하는 플랫폼의 모든 Java버젼에서 발생합니다.

만약 현재 사용하고 계시는 IBM Rational 제픔이 WebSphere® Application Server를 사용하고 있을 경우(예를 들어 IBM Rational ClearCase, IBM Rational Application Developer 등의 IBM Rational Change Management (CM) 서버를 사용하는 제품), 이 취약점을 다루기 위해서 WebSphere® 를 위한 설명을 확인하시기 바랍니다:
http://www-01.ibm.com/support/docview.wss?uid=swg21462019

WebSphere Application Server의 업그레이드 또는 최신 픽스 적용을 원하시는 경우, 아래의 기술문서를 참고하시기 바랍니다:

Technote 1390803 How to update the IBM WebSphere Application Server components in Rational ClearCase and Rational ClearQuest 7.1

다른 Application 서버들 또한 이미 이 문제를 수정했을 수 있습니다. 예를 들어 (예전 Rational 제품 버전에서 사용되었던) Apache Tomcat은 Tomcat 전용 픽스를 배포하였습니다.

많은 IBM Rational 제품들은 Java 의 영향을 받고, 하나의 또는 여러 버젼의 Java를 같이 제공하거나 시스템에 설치합니다.

IBM은 시스템에 잠재적인 취약점을 가진 IBM Java 인스턴스가 있는지를 확인하고 필요할 경우 패치를 적용할 수 있는 UPDATE TOOL을 제공하고 있습니다. 패치가 필요하실 경우 메이져 Java버젼과 시스템 플랫폼에 맞는 패치를 다운로드하셔야 합니다. 이 패치들은 PATCH DOWNLOADS에서 확인하시기 바랍니다.

IBM은 또한 IBM이 제공한 Java가 (패치된 Java를 포함해서) 이 문제에 영향을 받는지를 확인할수 있는 TEST CASE TOOL를 제공하고 있습니다.

이 테스트 케이스는 JAR 실행파일이며, 아래의 명령어를 통해서 실행하실수 있습니다:

java -jar ParseDoubleTest.jar

> java -jar ParseDoubleTest.jar
 Test failed

> java -jar ParseDoubleTest.jar
Test succeeded

1. 업데이트 툴을 사용해서 문제가 발생할 만한 Java찾기.
   
   >java -jar JavaUpdateInstaller.jar -discover all
   
   이 명령어는 전체 디스크에서 모든 IBM Java 인스턴트를 찾습니다.
   
   
2. 픽스를 Software Delivery Platform에 적용합니다.
   
   (여기에 해당되는 제품은 IBM Rational Functional Tester 와 IBM Rational Software Architect 등이 있습니다.)
   
   픽스적용전에 Java 버젼을 확인합니다:
   
   C:\Progra~1\IBM\SDP\jdk\bin\java -version
   java version "1.6.0"
   Java(TM) SE Runtime Environment (build pwi3260sr8-20100409_01(SR8))
   IBM J9 VM (build 2.4, JRE 1.6.0 IBM J9 2.4 Windows XP x86-32 jvmwi3260sr8-20100401_55940 (JIT enabled, AOT enabled)
   J9VM - 20100401_055940
   JIT - r9_20100401_15339
   GC - 20100308_AA)
   JCL - 20100408_01
   
   업데이트 툴을 Microsoft Windows에서 실행합니다:
   
   C:\UpdateInstallerforJava>java -jar JavaUpdateInstaller.jar -install c:\IZ94423_FIX_1.jar C:\Progra~1\IBM\SDP\jdk
   
   Installs the specified update to the SDK if applicable.
   -------------------------------------------------------------------------
   Installing the update IZ94423_FIX_1 to the SDK: C:\Progra~1\IBM\SDP\jdk ...
   IZ94423_FIX_1 has been successfully installed to SDK C:\Progra~1\IBM\SDP\jdk
   
   Confirming Java -version
   
   C:\Progra~1\IBM\SDP\jdk\bin\java -version
   java version "1.6.0"
   Java(TM) SE Runtime Environment (build pwi3260sr8-20100409_01(SR8) + IZ94423_FIX_1)
   IBM J9 VM (build 2.4, JRE 1.6.0 IBM J9 2.4 Windows XP x86-32 jvmwi3260sr8-20100401_55940 (JIT enabled, AOT enabled)
   J9VM - 20100401_055940
   JIT - r9_20100401_15339
   GC - 20100308_AA)
   JCL - 20100408_01
   
   
3. 만약 다른 버젼의 픽스를 적용할려고 할 경우, 업데이트 installer에서 아래와 같은 메세지를 나옵니다:
   
   C:\UpdateInstallerforJava>java -jar <path>\JavaUpdateInstaller.jar -install <path>\IZ94423_FIX_1.jar C:\java
   
   Installs the specified update to the SDK if applicable.
   -------------------------------------------------------------------------
   Update IZ94423_FIX_1 is not applicable to SDK - C:\java. Update IZ94423_FIX_1
   can be installed to JDK with version(s)
   
   1) 1.6.0
   
   
4. IBM Rational ClearCase/ClearQuest components (ClearCase Remote Client, ClearQuest Client, ClearQuest Designer 등) 에서 사용되는 Java 업데이트 하는방법:

The following example steps show in Rational ClearCase/ClearQuest version 7 on the Windows 64 bit server platform.

C:\Program Files (x86)\IBM\RationalSDLC\common\JAVA5.0\jre\bin>.\java -version

java version "1.5.0"
Java(TM) 2 Runtime Environment, Standard Edition (build pwi32devifx-20100511b (SR11 FP2 ))
IBM J9 VM (build 2.3, J2RE 1.5.0 IBM J9 2.3 Windows Server 2003 x86-32 j9vmwi3223ifx-20100511 (JIT enabled)
J9VM - 20100509_57823_lHdSMr
JIT - 20091016_1845ifx7_r8
GC - 20091026_AA)
JCL - 20100511a

C:\Program Files (x86)\IBM\RationalSDLC\common\JAVA5.0\jre\bin>java -jar <path>\ParseDoubleTest.jar
Test failed

C:\Program Files (x86)\IBM\RationalSDLC\common\JAVA5.0\jre\bin>java -jar <path>\JavaUpdateInstaller.jar -install <path>\IZ94331_FIX_1.jar "C:\Program Files (x86)\IBM\RationalSDLC\Common\JAVA5.0"
Installs the specified update to the SDK if applicable.
-------------------------------------------------------------------------
Installing the update IZ94331_FIX_1 to the SDK: C:\Program Files
(x86)\IBM\RationalSDLC\Common\JAVA5.0 ...

IZ94331_FIX_1 has been successfully installed to SDK C:\Program Files
(x86)\IBM\RationalSDLC\Common\JAVA5.0
-------------------------------------------------------------------------

C:\Program Files (x86)\IBM\RationalSDLC\common\JAVA5.0\jre\bin>java -jar <path>\ParseDoubleTest.jar
java version "1.5.0"
Java(TM) 2 Runtime Environment, Standard Edition (build pwi32devifx-20100511b (SR11 FP2 ))
IBM J9 VM (build 2.3, J2RE 1.5.0 IBM J9 2.3 Windows Server 2003 x86-32 j9vmwi3223ifx-20100511 (JIT enabled)
J9VM - 20100509_57823_lHdSMr
JIT - 20091016_1845ifx7_r8
GC - 20091026_AA)
JCL - 20100511a

패치가 적용된 후에도 Java버젼은 변경되지 않습니다. ParseDoubleTree 문제는 TEST CASE TOOL로 확인하실수 있습니다:

C:\Program Files (x86)\IBM\RationalSDLC\common\JAVA5.0\jre\bin>.\java -jar ParseDoubleTest.jar
Test succeeded