Java Runtime을 업그레이드하여 OpenManage Server Administrator의 Java 취약성 완화

타사 보안 스캐너 애플리케이션은 Dell OpenManage Server Administrator의 번들 Java 11 런타임 환경 라이브러리의 존재를 감지하고 많은 보안 취약성을 식별할 수 있습니다. 많은 스캐너는 일반적으로 OpenJDK 11 프로젝트에서 문서화한 모든 알려진 취약점을 나열합니다.

Java는 응용 프로그램 프로그래밍 환경이므로 일반적으로 대부분의 Java 보안 취약점은 Server Administrator가 사용하지 않는 특정 라이브러리 또는 함수에 취약점이 적용되기 때문에 Server Administrator에게 적용되지 않습니다.

그러나 Server Administrator는 OMSA에 번들로 제공되는 Java 11 버전보다 최신 버전일 수 있는 운영 체제 내에 설치된 대체 Java Runtime Environment 버전 11을 로드할 수 있습니다. 이 작업은 아래의 해결 단계에서 수행할 수 있습니다.

일부 타사 보안 스캐너는 최신 대체 Java 런타임이 대신 로드되었음에도 불구하고 운영 체제 내의 간단한 파일 기반 검사와 오래된 번들 Java 11 감지로 인해 여전히 오탐 경고를 보고합니다. 번들로 제공된 이전 Java 11에서 교체하는 작업은 아래의 해결 단계에서 수행할 수 있습니다.

Server Administrator 10.3 이상 버전은 테스트만 거쳤으며 공식적으로 무료 Eclipse Temurin(이전의 Adoptium) OpenJDK 11 프로젝트를 지원합니다. Windows 및 Linux 버전의 Temurin Java 11, Standard Edition 설치 패키지는 다음에서 다운로드할 수 있습니다

https://adoptium.net/temurin/releases/?version=11

참고: Server Administrator는 Java 11 버전만 지원합니다. Java 17 이상 버전의 OpenJDK 프로젝트를 다운로드하거나 사용하지 마십시오. API(Application Programming Interface)에는 Server Administrator 그래픽 인터페이스 기능에 영향을 줄 수 있는 더 새롭거나, 더 이상 사용되지 않거나, 변경된 Java 함수가 포함되어 있습니다.

Server Administrator 지정 대체 Temurin Java 11 환경 로드

1. Adoptium 웹 사이트에서 아키텍처가 "x64"인 더 작은 "JRE" 패키지의 Windows 또는 Linux 버전을 다운로드합니다.
2. 지침에 따라 각 호스트에서 또는 타사 배포 툴을 사용하여 운영 체제에 대체 Java 런타임 패키지를 설치합니다
3. 브라우저에서 Server Administrator 웹 그래픽 인터페이스를 실행합니다.
4. 기본 설정(오른쪽 상단)으로 이동한 다음 일반 설정(왼쪽 여백)으로 이동합니다.
5. Java Runtime Environment 섹션까지 아래로 스크롤하여 System JRE/JDK를 활성화합니다.
6. Server Administrator가 설치된 기존 대체 Java 런타임을 인식하면 풀다운 메뉴에 버전이 나열됩니다.
7. 적용 버튼을 클릭하면 Server Administrator 웹 서비스가 재시작됩니다.

또는 Server Administrator 명령줄을 사용하여 프로그래밍 방식으로 이 기본 설정을 변경할 수도 있습니다. 이 기능은 실수로 인해 웹 인터페이스에 더 이상 액세스할 수 없는 경우에도 유용합니다. 검색된 현재 대체 Java 버전을 나열하려면 다음을 수행합니다.

omreport preferences webserver attribute=getjrelist

설정을 변경하려면:

omconfig preferences webserver attribute=setjre jreversion=<version>

Windows에서 "DSM SA 연결 서비스"를 다시 시작하거나 Linux에서 "dsm_om_connsvc.service"를 다시 시작합니다.

실수가 발생하여 웹 인터페이스에 더 이상 액세스할 수 없는 경우 Server Administrator 내에서 기본 Java 런타임을 번들 버전으로 다시 변경하려면 다음을 수행합니다.

omconfig preferences webserver attribute=setjre jreversion=<version>

Server Administrator에 번들로 제공되는 Java 런타임 교체

참고: 이 방법은 수동 배포가 필요하며 파일 기반 보안 스캐너의 거짓 양성 보고서를 해결하는 데만 권장됩니다. 대체 Java 런타임 버전도 Server Administrator 웹 인터페이스의 Software 페이지에 반영되지 않습니다.

참고: Server Administrator는 Java 11 버전만 지원합니다. Java 17 이상 버전의 OpenJDK 프로젝트를 다운로드하거나 사용하지 마십시오. API(Application Programming Interface)에는 Server Administrator 그래픽 인터페이스 기능에 영향을 줄 수 있는 더 새롭거나, 더 이상 사용되지 않거나, 변경된 Java 함수가 포함되어 있습니다.

1. Adoptium 웹 사이트에서 아키텍처가 "x64"인 더 작은 "JRE" 패키지의 Windows 또는 Linux 버전을 다운로드합니다. 각각 .zip 또는 .tar.gz 형식을 선택해야 합니다.
2. "jre"로 이름이 바뀐 폴더에 전체 파일 내용의 압축을 풉니다.
3. Windows에서 "DSM SA 연결 서비스"를 중지하거나 Linux에서 "dsm_om_connsvc.service"를 중지합니다.
4. 기존 폴더 C:\Program Files\Dell\SysMgmt\jre\(Windows) 또는 /opt/dell/srvadmin/lib64/openmanage/jre/(Linux)를 백업하도록 이름을 변경합니다.
5. 최근에 폴더 이름이 "jre"로 바뀐 새로 다운로드한 Temurian Java 11 런타임 패키지로 바꿉니다.
6. Server Administrator 웹 서비스를 시작합니다.