개요 - 2012년 5월 1일, Oracle사는 Oracle 데이터베이스의 TNS listener 취약점에 대한 임시 조치 권고 발표[1]
4월에 발표된 April 2012 Critical Patch Update를 통해 패치 되지 아니한 취약점에 대해 개념증명코드(PoC)가 공개되어 패치 전에 취할 수 있는 조치에 대한 보안권고
설명 - TNS listener와 관련된 취약점으로 원격에서 사용자 인증 없이 데이터베이스로의 연결을 엿보거나 임의의 명령어 실행이 가능한 취약점
※ TNS(Transparent Network Substrate) : Oracle에서 개발한 기술로 서로 다른 Network 구성을 가지고 있는 Client/Server 또는 Server/Server 간에도 Data의 전송을 가능하게 해주는 Network 기술
해당 소프트웨어 - Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
- Oracle Database 11g Release 1, version 11.1.0.7
- Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
임시 조치 방안 - Real Application Clusters(RAC) 사용자는 My Oracle Support Note 1340831.1 참고 [2]
※ RAC(Real Application Clusters) : Oracle 데이터베이스 환경에서 클러스터링과 고가용성 기능을 가능케 하는 추가 기능 - Real Application Clusters(RAC) 비사용자는 My Oracle Support Note 1453883.1 참고 [3]
- 상기 문서를 검토하고 벤더사 및 유지보수업체와 협의/검토 후 조치 요망
기타 문의사항 - 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트] [1] http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html [2] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1340831.1 [3] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1453883.1 |