[보안뉴스 권 준] 오라클 사는 Oracle 데이터베이스의 TNS listener 취약점에 대한 임시조치 권고사항을 발표했다. 

이는 4월에 발표된 Critical Patch Update를 통해 패치되지 않은 취약점에 대한 PoC(개념증명) 코드가 공개된 것과 관련 패치 전에 취할 수 있는 조치에 대해 보안권고를 한 것이다(본지 5월  2일자 기사, 오라클 취약점 PoC 코드 공개...“어라! 패치가 안됐네?” 참조).

TNS listener와 관련된 취약점은 원격에서 사용자 인증 없이 데이터베이스로의 연결을 엿보거나 임의의 명령어 실행이 가능한 취약점으로, 해당되는 소프트웨어는 Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3/ Oracle Database 11g Release 1, version 11.1.0.7/ Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5이다.

임시조치로는 RAC(Real Application Clusters) 사용자의 경우 My Oracle Support Note 1340831.1을 참고[2]하고, RAC 비사용자의 경우는 My Oracle Support Note 1453883.1 참고[3]한 후, 벤더사 및 유지보수업체와 협의·검토해서 조치를 취할 것을 KISA 인터넷침해대응센터 측은 당부했다. 

[참고사이트]

[1]http://www.oracle.com/technetwork/topics/security/alert-cve

-2012-1675-1608180.html

[2] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1340831.1

[3] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1453883.1

*TNS(Transparent Network Substrate) : Oracle에서 개발한 기술로 서로 다른 Network 구성을 가지고 있는 Client/Server 또는 Server/Server 간에도 데이터 전송을 가능하게 해주는 네트워크 기술

*RAC(Real Application Clusters) : Oracle 데이터베이스 환경에서 클러스터링과 고가용성 기능을 가능케 하는 추가 기능

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>