오라클, 정기 패치 통해 402개의 취약점 해결

입력 : 2020-10-22 12:07

1년에 4번 패치 발표하는 오라클...지난 번과 이번 모두 400개 넘어
절반 이상이 원격 익스플로잇 가능케 해...시급한 패치 필요한 취약점들

[보안뉴스 문가용 기자] 기업용 소프트웨어 대기업인 오라클(Oracle)이 사분기 정기 패치를 발표했다. 무려 402개의 취약점이 이를 통해 공개됐다. 이 중 절반 이상인 272개가 인증 과정을 통과하지 않고도 원격 익스플로잇을 가능하게 한다고 한다. 즉 공격자들이 사용자의 크리덴셜을 훔쳐내는 노력을 따로 하지 않아도 인터넷 연결을 통해 취약점 익스플로잇을 할 수 있게 된다는 뜻이다.


취약점이 가장 많이 발견된 제품 및 서비스는 다음과 같다.
1) 오라클 파이낸셜 서비스 애플리케이션(Oracle Financial Services Applications) : 53개
2) 오라클 MySQL : 53개
3) 오라클 커뮤니케이션즈(Oracle Communications) : 52개
4) 오라클 퓨전 미들웨어(Oracle Fusion Middleware) : 46개
5) 오라클 리테일 애플리케이션(Oracle Retail Applications) : 28개
6) 오라클 이비즈니스 스위트(Oracle E-Business Suite) : 27개
위 6개 제품들을 포함해 총 27개의 오라클 제품에서 적어도 1개 이상의 취약점이 나타났다.

오라클은 이번 정기 발표를 통해 “패치를 적용하지 않고 미루다가 공격에 당한 고객사들을 많이 접해왔다”며 “패치가 공개된 시점부터 최대한 빠른 시일 안에 적용할 것을 강력히 권고한다”고 패치 노트에 적었다. 그러면서 두 개의 취약점이 CVSS를 기준으로 10점 만점을 받았다고 공개하기도 했다.

만점짜리 취약점 두 개 중 하나는 오라클 헬스케어 파운데이션(Oracle Healthcare Foundation)에 있는 분석 관련 요소들에서 발견됐다. CVE-2020-1953이라는 번호가 붙었으며, 사용자 크리덴셜 없이도 원격 익스플로잇을 가능하게 해 준다고 한다. 7.1.1, 7.2.0, 7.2.1, 7.3.0 버전에서 이 취약점이 나타난다. 다른 하나는 CVE-2020-14871이며, 오라클 솔라리스(Oracle Solaris)에서 발견됐다. 역시 인증 없이 원격 익스플로잇을 가능하게 해 주며, 10과 11 버전에 영향을 준다고 한다.

그렇다고 심각한 취약점이 이 두 개에 그치는 것은 아니다. 10점에 상당히 근접한 9.8점짜리 취약점이 65개이며, 9.4점을 받은 취약점이 6개나 더 있다. 오라클은 패치 외에도 여러 가지 위험 완화 방법을 함께 제공하기도 했다. 당장 패치가 어려운 사용자들이라면 이 완화 방법들을 적용해 시간을 벌 수 있을 것으로 보인다. 그러나 위험 완화 방법이 패치만큼 온전한 대책은 아니다. 또한 경우에 따라 위험 완화 방법이 솔루션의 기능성을 저해할 수도 있다고 오라클은 강조했다.

오라클은 1월, 4월, 7월, 10월에 정기 패치를 발표한다. 17일에서 가장 가까운 화요일을 발표일로 정하고 있다. 지난 4월에도 405개의 취약점이 공개 및 패치됐다. 그 외에도 긴급 패치를 이따금씩 발표하기도 하는데, 지난 6월의 경우 웹로직 서버(WebLogic Server)에서 치명적 원격 코드 실행 취약점이 패치되기도 했었다.

3줄 요약
1. 오늘은 오라클의 정기 패치 발표일.
2. 지난 정기 패치에 이어 이번에도 400개가 넘는 취약점이 공개됨.
3. 위험도에서 만점을 받은 취약점이 2개. 만점 가까운 점수를 받은 취약점이 60개 넘음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  라자루스·안다리엘·김수키까지 北 해커조직 총...

• 2

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 3

  깃허브와 깃랩 사용하면 사실상 대처법이 전무...

• 4

  신종 피싱범죄 조직, 리딩방 회원에 ‘상장 ...

• 5

  ‘K-시큐리티’ 미국 상륙작전! 한국 보안기...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...