보안 게시판

Rhino JavaScript 엔진을 사용하는 Application Integration의 JavaScript 작업에서 취약점이 감지되었습니다. 이 문제는 2025년 1월 이전에 게시된 작업에만 영향을 미쳤습니다.

어떻게 해야 하나요?

Google에서는 Application Integration의 JavaScript 작업에 대해 보안이 강화된 V8 JavaScript 엔진으로 전환했습니다. 2025년 1월부터 새로 게시된 모든 통합은 V8 엔진을 사용하며 2026년 3월 30일부로 Rhino 엔진이 완전히 지원 중단되었습니다. 이제 Rhino 엔진을 사용하는 실행도 차단됩니다.

2025년 1월 전에 게시된 통합이 있는 경우 JavaScript 작업을 검토하여 Rhino 엔진을 사용하는 작업이 없는지 확인하세요. Rhino를 사용하도록 구성된 작업은 더 이상 실행되지 않으며 V8 엔진으로 이전해야 합니다. 마이그레이션 단계는 JavaScript 작업 마이그레이션을 참고하세요.

해결되는 취약점은 무엇인가요?

취약점 CVE-2025-0982를 통해 JavaScript 작업을 작성하고 실행할 권한이 있는 사용자가 Application Integration 실행 환경 내에서 임의의 코드를 실행할 수 있었습니다.

이전에는 JavaScript 작업에서 Rhino JavaScript 엔진을 사용하여 사용자가 제공한 JavaScript를 실행했습니다. Rhino는 Java 리플렉션 사용과 메모리 내 권한 객체 수정을 허용했으며, 이를 결합하여 Java 보안 관리자를 우회하고 의도된 실행 샌드박스를 벗어날 수 있었습니다. Google은 2025년 1월에 V8 JavaScript 엔진으로 전환하고 2026년 3월 30일에 Rhino 엔진을 완전히 지원 중단하고 차단하여 이 문제를 해결했습니다.