개요
- 2012년 5월 1일, Oracle사는 Oracle 데이터베이스의 TNS listener 취약점에 대한 임시 조치 권고 발표[1]
4월에 발표된 April 2012 Critical Patch Update를 통해 패치 되지 아니한 취약점에 대해 개념증명코드(PoC)가 공개되어 패치 전에 취할 수 있는 조치에 대한 보안권고
설명
- TNS listener와 관련된 취약점으로 원격에서 사용자 인증 없이 데이터베이스로의 연결을 엿보거나 임의의 명령어 실행이 가능한 취약점
※ TNS(Transparent Network Substrate) : Oracle에서 개발한 기술로 서로 다른 Network 구성을 가지고 있는 Client/Server 또는 Server/Server 간에도 Data의 전송을 가능하게 해주는 Network 기술
해당 소프트웨어
- Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
- Oracle Database 11g Release 1, version 11.1.0.7
- Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
임시 조치 방안
- Real Application Clusters(RAC) 사용자는 My Oracle Support Note 1340831.1 참고 [2]
※ RAC(Real Application Clusters) : Oracle 데이터베이스 환경에서 클러스터링과 고가용성 기능을 가능케 하는 추가 기능 - Real Application Clusters(RAC) 비사용자는 My Oracle Support Note 1453883.1 참고 [3]
- 상기 문서를 검토하고 벤더사 및 유지보수업체와 협의/검토 후 조치 요망
기타 문의사항
- 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
[2] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1340831.1
[3] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1453883.1
출처 : KISA
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
애플 모바일 운영체제(iOS) 보안 업데이트 권고 (0) | 2012.05.31 |
---|---|
Adobe Flash Player 취약점 보안 업데이트 권고 (0) | 2012.05.31 |
이호스트 IDC, XE_웹쉘삽입_취약점_분석결과_-_호스팅 (0) | 2012.05.16 |
이호스트 IDC, 공개_웹게시판(XE)_웹쉘삽입_취약점_조치_공문 (0) | 2012.05.16 |
이호스트 IDC, 2012년 05월 MS 정기 보안 업데이트 권고 (0) | 2012.05.10 |