게시일: 2020. 4. 14 오전 11:56:01
내일 보안 전문가들은 투표소에서 나와 패치로 바빠질 듯
[이미지 = iclickart]
그 중에서도 CVSS 9.8점 이상의 심각한 오류가 다량으로 발견돼 패치가 시급한 제품들은 오라클 파이낸셜 서비스 애플리케이션(Oracle Financial Services Applications), 오라클 MySQL, 오라클 리테일 애플리케이션(Oracle Retail Applications), 오라클 서포트 툴즈(Oracle Support Tools) 등이라고 한다.
실제 패치나 위험 완화 방법에 관한 가이드라인 등은 현지 시각으로 화요일에 정식 발표 및 배포될 예정이다. 한국 시간으로는 내일 즈음이며, 마이크로소프트의 4월 정기 패치와 일자가 겹치게 될 것으로 보인다. 즉, 상황에 따라 보안 담당자들이 상당한 분량의 패치 작업을 진행해야 할 수 있다는 것이다.
오라클의 퓨전 미들웨어(Fusion Middleware)의 경우, 단독으로 총 49개의 취약점들을 보유하고 있다. 만약 내일 패치를 하지 않는다면 공격자들은 사용자의 적법한 크리덴셜 없이도 원격에서 익스플로잇을 할 수 있다고 한다.
오라클에 의하면 퓨전 미들웨어에 속하는 제품군을 통틀어서는 56개의 보안 패치가 진행됐다고 한다. 아이덴티티 관리자 커넥터(Indentity Manager Connector 9.0), 빅데이터 디스커버리(Big Data Discovery 1.6), 웹센터 포탈(WebCenter Porta v11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0) 등 스무 개가 넘는 서비스가 이 패치들의 영향권 아래 있다고 오라클은 밝혔다.
오라클의 자바 플랫폼(Java Platform)과 스탠다드 에디션(Java SE)에서도 중간 위험도의 오류들이 15개 발견되어 이번에 패치됐다. 사용자의 크리덴셜 없이도 네트워크를 통해 원격 익스플로잇을 가능케 해주는 취약점들이라고 한다.
오라클 파이낸셜 서비스 애플리케이션 스위트에서는 34개의 치명적 위험도의 취약점이 발견됐다. 이 중 14개는 원격 익스플로잇이 가능하다고 한다. 오라클 MySQL의 경우 45개의 버그가 발견됐는데, 이 중 9개가 원격 익스플로잇이 가능하며 CVSS 점수 9.8점을 기록했다.
오라클의 인기 제품 중 하나인 데이터베이스 서버(Database Server)에서는 9개의 버그가 발견됐다. 이 중 2개가 원격 익스플로잇이 가능하며, CVSS 점수 8.0점을 받았다.
3줄 요약
1. 오라클, 내일 무려 405개의 취약점 패치를 발표하겠다고 예고.
2. 치명적 취약점 다수 포함되어 있어 대대적 업데이트 작업 필요해 보임.
3. 게다가 MS의 정기 패치일과도 겹침.