2020-05-26 19:45 (화)
오라클 57개 취약점 발표...보안패치 시급
상태바
오라클 57개 취약점 발표...보안패치 시급
  • 길민권
  • 승인 2011.10.24 01:56
이 기사를 공유합니다

원격 및 로컬 공격 통해 취약한 서버 공격하는데 악용될 가능성 등
DB 가용성 및 기밀성-무결성에 영향 줄 수 있는 취약점도 발표
Oracle Critical Patch Update(CPU)는 오라클사의 제품을 대상으로 다수의 보안 패치를 발표하는 주요 수단이다. 지난 10월 18일 Oracle CPU 발표 이후, 관련 공격코드의 출현으로 인한 피해가 예상된다. 이용자들은 즉시 오라클 제품의 다중 취약점에 대한 패치를 해야 한다.
 
10월 Oracle CPU에서는 오라클 자사 제품의 보안취약점 57개에 대한 패치를 발표했다. 원격 및 로컬 공격을 통하여 취약한 서버를 공격하는데 악용될 가능성이 있는 취약점을 포함해 DB의 가용성 및 기밀성/무결성에 영향을 줄 수 있는 취약점이 발표됐다.
 
<영향받는 시스템>
o Oracle Database 11g Release 2, version 11.2.0.2
o Oracle Database 11g Release 1, version 11.1.0.7
o Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
o Oracle Database 10g Release 1, version 10.1.0.5
o Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
o Oracle Application Server 10g Release 3, version 10.1.3.5.0
o Oracle Application Server 10g Release 2, version 10.1.2.3.0
o Oracle Business Intelligence Enterprise Edition, versions 11.1.1.3, 11.1.1.5
o Oracle Identity Management 10g, versions 10.1.4.0.1, 10.1.4.3
o Oracle Outside In Technology, versions 8.3.5, 8.3.7
o Oracle WebLogic Portal, versions 9.2.3.0, 10.0.1.0, 10.2.1.0, 10.3.2.0
o Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5)
o Oracle E-Business Suite Release 12, versions 12.0.6, 12.1.2, 12.1.3
o Oracle E-Business Suite Release 11i, version 11.5.10.2
o Oracle Agile Product Supplier Collaboration for Process, versions 5.2.2, 6.0.0.2,
  6.0.0.3, 6.0.0.4
o Oracle PeopleSoft Enterprise HRMS, versions 8.9, 9.0, 9.1
o Oracle PeopleSoft Enterprise PeopleTools, versions 8.49, 8.50, 8.51
o Oracle Siebel CRM Core and Apps, versions 8.0.0, 8.1.1
o Oracle Clinical, Remote Data Capture, versions 4.6, 4.6.2
o Oracle Thesaurus Management System, versions 4.6.1, 4.6.2
o Oracle Sun Product Suite
o Oracle Linux 5
o Oracle Sun Ray
 
해결방안으로서 "Oracle Critical Patch Update Advisory - October 2011" 문서를 검토하고 벤더사 및 유지보수업체와 협의검토 후 패치적용을 해야 한다.
 
KISA 인터넷침해대응센터는 “각 사이트의 사정으로 패치적용이 지연될 경우, 불필요한 계정을 삭제하고 디폴트 패스워을 해드 변경해야 한다. 데이터베이스 접근 통제를 구현하여 사용자에게 허가되는 권한을 최소화함으로써 공격으로 인해 발생될 영향을 제한해야 한다. 또 영향을 받는 서비스에 대해서는 신뢰된 호스트 및 네트워크들만 액세스할 수 있도록 제한하고 데이터베이스 보안제품을 활용해야 한다”고 권고했다.  
 
<참고사이트>
-www.oracle.com/technetwork
-www.krcert.or.kr/cyberSecureManual
"민간사이버안전매뉴얼 기업 정보보호담당자용", 228p ~ 236p, 2006
[데일리시큐=길민권 기자]