• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

Oracle 제품의 다중 취약점 보안패치 권고! 2012.04.21

원격 및 로컬 공격 통해 서비스 거부 등의 영향 미칠 수 있어 


[보안뉴스 권 준] 지난 4월 17일 Oracle Critical Patch Update(CPU) 발표 이후, 관련 공격코드의 출현으로 인한 피해가 예상돼 Oracle 제품의 다중 취약점에 대한 패치를 권고했다고 KISA 인터넷침해대응센터 측은 밝혔다.


Oracle CPU는 Oracle 사의 제품을 대상으로 다수의 보안 패치를 발표하는 주요 수단으로, 이번에 Oracle 자사 제품의 보안취약점 88개에 대한 패치를 발표한 것. 이번 취약점은 원격 및 로컬 공격을 통하여, 서비스 거부 등의 영향을 줄 수 있는 취약점 등으로 영향 받는 시스템은 다음과 같다.


-Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3

-Oracle Database 11g Release 1, version 11.1.0.7

-Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5

-Oracle Application Server 10g Release 3, version 10.1.3.5.0

-Oracle BI Publisher, versions 10.1.3.4.1, 10.1.3.4.2

-Oracle DB UM Connector for Oracle Identity Manager, Version 9.1.0.4

-Oracle Identity Manager 11g, versions 11.1.1.3, 11.1.1.5

-Oracle JDeveloper, version 10.1.3.5.0

-Oracle JRockit versions, R28.2.2 and earlier, R27.7.1 and earlier

-Oracle Outside In Technology, versions 8.3.5, 8.3.7

-Oracle WebCenter Forms Recognition, version 10.1.3.5

-Enterprise Manager Grid Control 11g Release 1, version 11.1.0.1

-Enterprise Manager Grid Control 10g Release 1, version 10.2.0.5

-Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3

-Oracle E-Business Suite Release 11i, version 11.5.10.2

-Oracle Agile, version 6.0.0

-Oracle AutoVue version 20.0.2

-Oracle PeopleSoft Enterprise CRM, version 9.1

-Oracle PeopleSoft Enterprise HCM, version 9.1

-Oracle PeopleSoft Enterprise HRMS, versions 8.9, 9.0, 9.1

-Oracle PeopleSoft Enterprise FCSM, versions 9.0, 9.1

-Oracle PeopleSoft Enterprise PeopleTools, versions 8.50, 8.51, 8.52

-Oracle PeopleSoft Enterprise Portal version 9.1

-Oracle PeopleSoft Enterprise SCM, versions 9.0, 9.1

-Oracle Siebel Life Sciences, versions 8.0.0, 8.1.1, 8.2.2

-Oracle FLEXCUBE Direct Banking, versions 5.0.2, 5.3.0-5.3.4, 6.0.1, 6.2.0

-Oracle FLEXCUBE Universal Banking, versions 10.0.0-10.5.0, 11.0.0-11.4.0

-Primavera P6 Enterprise Project Portfolio Management, versions 6.2.1, 8.0, 8.1, 8.2

-Oracle Sun Product Suite

-Oracle MySQL Server, versions 5.1, 5.5


이번 취약점의 해결방안으로는 ‘Oracle Critical Patch Update Advisory - April 2012’ 문서를 검토하고 벤더사 및 유지보수업체와 협의·검토 후 패치를 적용해야 한다. 각 사이트의 사정으로 패치적용이 지연될 경우, 불필요한 계정을 삭제하고 디폴트 패스워드를 변경하는 것이 좋다.


또한, 데이터베이스 접근통제를 구현하여 사용자에게 허가되는 권한을 최소화함으로써, 공격으로 인해 발생될 영향을 제한하고, 영향을 받는 서비스에 대해서는 신뢰된 호스트 및 네트워크들만 액세스할 수 있도록 제한하며, 데이터베이스 보안제품 활용하는 것이 좋다고 인터넷침해대응센터 측은 조언했다.


[참고사이트]

http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html

 

[권  준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>