오라클, 10월 정기 패치 통해 301개의 취약점 해결해

입력 : 2018-10-18 10:18

301개 취약점 중 60%가 치명적인 위험도 가지고 있어
퓨전 미들웨어에서 가장 많은 취약점 나와...총 23개 제품 픽스돼

[보안뉴스 문가용 기자] 오라클의 10월 정기 패치가 미국 현지 시각으로 화요일에 발표됐다. 무려 301개의 보안 픽스들이 여기에 포함됐으며, 이것으로 올해 오라클이 패치한 취약점은 총 1119개가 되었다.


이번 달 픽스가 적용될 수 있는 오라클 제품은 총 23개로, 데이터베이스 서버(Database Server), 커뮤니케이션즈 애플리케이션(Communications Application), 컨스트럭션 앤 엔지니어링 스위트(Construction and Engineering Stuie), 이비즈니스 스위트(E-Business Suite), 퓨전 미들웨어(Fusion Middleware), 호스피탈리티 애플리케이션(Hospitality Application), 자바SE, MySQL, 피플소프트(PeopleSoft), 리테일 애플리케이션(Retail Application) 등이다.

이번에 패치된 301개의 취약점들 중 60%가 넘는 것들이 인증 없이 원격 익스플로잇이 가능하다고 한다. 또한 비슷한 비율의 취약점들이 CVSS 점수 9.0 이상을 받았을 정도로 치명적인 위험도를 가지고 있었다. 또한 162개 취약점들은 기업용 애플리케이션들에서 발견됐다.

가장 많은 취약점이 패치된 제품은 퓨전 미들웨어였다. 전부 65개의 패치가 이뤄졌고, 그 중 56개는 원격에서 인증 과정 없이 익스플로잇이 가능하다고 한다.

MySQL의 경우 38개의 취약점들이 해결됐고,그 중 3개가 원격 익스플로잇이 가능한 것이었다. 리테일 애플리케이션은 31개의 패치가 있었고, 21개가 원격 익스플로잇이 가능한 것이었다. 피플소프트는 24개 패치 중 21개가 원격 익스플로잇에 노출된 것이었고, 선 시스템즈 프로덕트 스위트(Sun Systems Products Suite)에서는 19개 중 9개가 그랬다.

이비즈니스 스위트는 16개중 14개가, 커뮤니케이션 애플리케이션은 14개 중 9개가, 버추얼라이제이션(Virtualization)은 14개 중 1개가 원격 익스플로잇을 허용했다.

그 외 자바SE(12개), 컨스트럭션 앤 엔지니어링 스위트(10개), 호스피탈리티 애플리케이션(9개), 하이페리온(9개), 데이터베이스 서버(7개), JD 에드워즈 제품군(6개), 서플라이 체인 스위트(6개), 인슈어런스 애플리케이션(5개), 엔터프라이즈 관리자 스위트(4개), 푸드 앤 베버리지 애플리케이션(4개), 지벨 CRM(3개), 파이낸셜 서비스 애플리케이션(2개), 아이러닝(1개), 헬스 사이언스 애플리케이션(1개), 서포트 툴즈(1개)도 이번 달 패치 대상이 되었다.

또 하나 중요한 패치는 골든게이트(GoldenGate)에서 발견된 취약점 CVE-2018-2913에 대한 것이다. 이 취약점은 CVSS 점수 10점을 받은 것으로 익스플로잇이 쉽고, 인증 받지 않은 공격자가 TCP를 통해 네트워크에 접속해 골든게이트를 장악할 수 있게 해주는 것이라고 한다.

그 외 중요한 취약점들을 CVE 번호별로 꼽으면 다음과 같다. 전부 9.8점 이상 받은 것들이다.
1) CVE-2018-3259 : 데이터베이스 서버
2) CVE-2018-1275 : 퓨전 미들웨어
3) CVE-2018-7489 : JD 에드워즈 제품군
4) CVE-2018-11776 : MySQL

지난 5년 동안 오라클이 해마다 발표하는 패치의 수는 세 배 가까이 늘어났다. 2013년 한 해에 발표된 패치는 총 430개였다. 보안 업체 ERP스캔(ERPScan)은 “오라클 제품 및 서비스는 그 종류가 43만 개에 달하며, 175개국에서 사용되고 있다”며 “그러므로 오라클 패치 소식은 어느 나라 어느 산업에서나 가장 중요한 소식 중 하나여야 한다”고 강조했다.

3줄 요약
1. 오라클, 이번 달 정기 패치를 통해 301개의 취약점 고침.
2. 상당수가 치명적인 취약점으로 분류되고 있어, 긴급한 패치가 요망됨.
3. 오라클 제품과 서비스는 널리 사용되고 있어, 가장 중요한 패치 소식으로 다뤄져야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  SW 공급망 보안 가이드라인 1.0 발표.....

• 3

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 4

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 5

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...