Home > 전체기사
오라클, 정기 패치 통해 402개의 취약점 해결
  |  입력 : 2020-10-22 12:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
1년에 4번 패치 발표하는 오라클...지난 번과 이번 모두 400개 넘어
절반 이상이 원격 익스플로잇 가능케 해...시급한 패치 필요한 취약점들


[보안뉴스 문가용 기자] 기업용 소프트웨어 대기업인 오라클(Oracle)이 사분기 정기 패치를 발표했다. 무려 402개의 취약점이 이를 통해 공개됐다. 이 중 절반 이상인 272개가 인증 과정을 통과하지 않고도 원격 익스플로잇을 가능하게 한다고 한다. 즉 공격자들이 사용자의 크리덴셜을 훔쳐내는 노력을 따로 하지 않아도 인터넷 연결을 통해 취약점 익스플로잇을 할 수 있게 된다는 뜻이다.

[이미지 = utoimage]


취약점이 가장 많이 발견된 제품 및 서비스는 다음과 같다.
1) 오라클 파이낸셜 서비스 애플리케이션(Oracle Financial Services Applications) : 53개
2) 오라클 MySQL : 53개
3) 오라클 커뮤니케이션즈(Oracle Communications) : 52개
4) 오라클 퓨전 미들웨어(Oracle Fusion Middleware) : 46개
5) 오라클 리테일 애플리케이션(Oracle Retail Applications) : 28개
6) 오라클 이비즈니스 스위트(Oracle E-Business Suite) : 27개
위 6개 제품들을 포함해 총 27개의 오라클 제품에서 적어도 1개 이상의 취약점이 나타났다.

오라클은 이번 정기 발표를 통해 “패치를 적용하지 않고 미루다가 공격에 당한 고객사들을 많이 접해왔다”며 “패치가 공개된 시점부터 최대한 빠른 시일 안에 적용할 것을 강력히 권고한다”고 패치 노트에 적었다. 그러면서 두 개의 취약점이 CVSS를 기준으로 10점 만점을 받았다고 공개하기도 했다.

만점짜리 취약점 두 개 중 하나는 오라클 헬스케어 파운데이션(Oracle Healthcare Foundation)에 있는 분석 관련 요소들에서 발견됐다. CVE-2020-1953이라는 번호가 붙었으며, 사용자 크리덴셜 없이도 원격 익스플로잇을 가능하게 해 준다고 한다. 7.1.1, 7.2.0, 7.2.1, 7.3.0 버전에서 이 취약점이 나타난다. 다른 하나는 CVE-2020-14871이며, 오라클 솔라리스(Oracle Solaris)에서 발견됐다. 역시 인증 없이 원격 익스플로잇을 가능하게 해 주며, 10과 11 버전에 영향을 준다고 한다.

그렇다고 심각한 취약점이 이 두 개에 그치는 것은 아니다. 10점에 상당히 근접한 9.8점짜리 취약점이 65개이며, 9.4점을 받은 취약점이 6개나 더 있다. 오라클은 패치 외에도 여러 가지 위험 완화 방법을 함께 제공하기도 했다. 당장 패치가 어려운 사용자들이라면 이 완화 방법들을 적용해 시간을 벌 수 있을 것으로 보인다. 그러나 위험 완화 방법이 패치만큼 온전한 대책은 아니다. 또한 경우에 따라 위험 완화 방법이 솔루션의 기능성을 저해할 수도 있다고 오라클은 강조했다.

오라클은 1월, 4월, 7월, 10월에 정기 패치를 발표한다. 17일에서 가장 가까운 화요일을 발표일로 정하고 있다. 지난 4월에도 405개의 취약점이 공개 및 패치됐다. 그 외에도 긴급 패치를 이따금씩 발표하기도 하는데, 지난 6월의 경우 웹로직 서버(WebLogic Server)에서 치명적 원격 코드 실행 취약점이 패치되기도 했었다.

3줄 요약
1. 오늘은 오라클의 정기 패치 발표일.
2. 지난 정기 패치에 이어 이번에도 400개가 넘는 취약점이 공개됨.
3. 위험도에서 만점을 받은 취약점이 2개. 만점 가까운 점수를 받은 취약점이 60개 넘음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상