°ø°ÝÀÚµé, ÀÌ Ãë¾àÁ¡ È°¿ëÇØ ¾ÏÈ£ÈÆó ä±¼ ÄÚµå ½É±â ½ÃÀÛ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿À¶óŬ(Oracle)ÀÌ ¾ó¸¶ Àü ¹ß°ßµÈ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¶§¹®¿¡ À¥·ÎÁ÷ ¼¹ö(WebLogic Server)¿¡ ´ëÇÑ ±ä±Þ ¾÷µ¥ÀÌÆ®¸¦ ¹èÆ÷Çϱ⠽ÃÀÛÇß´Ù. À¥·ÎÁ÷ ¼¹ö´Â ÀÚ¹Ù EE ¾ÖÇø®ÄÉÀÌ¼Ç ¼¹öÀÇ ÀÏÁ¾À¸·Î, ¿À¶óŬÀÌ ÆǸÅÇÏ°í ÀÖ´Â Ç»Àü ¹Ìµé¿þ¾î(Fusion Middleware)¿¡ Æ÷ÇԵǾî ÀÖ´Ù.
[À̹ÌÁö = iclickart]
ÀÌ Á¦·Îµ¥ÀÌ´Â ÀÌ¹Ì °ø°ÝÀÚµéÀÌ ¸ÕÀú ¹ß°ßÇØ ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖ´ø °ÍÀ¸·Î CVE-2019-2725 ¹øÈ£¸¦ ºÎ¿© ¹Þ¾Ò°í, ¡®Ä¡¸íÀû¡¯ÀÎ À§Çèµµ¸¦ °¡Áö°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ÀÌ Ãë¾àÁ¡À» 4¿ù 21ÀÏ Ã³À½ ¹ß°ßÇÑ °Ç ³ë¿î¼½ 404 ÆÀ(KnownSec 404 Team)À¸·Î, ¡°wls9_async¿Í wls-wsat ¿ä¼Òµé¿¡¼ ¹ß°ßµÈ ¿ªÁ÷·ÄÈ ¹®Á¦¡±¶ó°í ¹ßÇ¥Çß´Ù. ³²¿ëÇÒ °æ¿ì ¿ø°Ý ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÏ°Ô µÈ´Ù.
´ç½Ã ³ë¿î¼½ 404 ÆÀÀº °³³äÁõ¸í¿ë Äڵ嵵 °°ÀÌ °ø°³Çߴµ¥, ¸çÄ¥ Áö³ª°íºÎÅÍ ÀÌ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» ¾Ç¿ëÇÑ °ø°ÝÀÌ ½ÇÁ¦ ¹ú¾îÁö±â ½ÃÀÛÇß´Ù. º¸¾È Àü¹® ±â°üÀÎ »ê½º ÀνºÆ¼Æ©Æ®(SANS Institute)´Â ¡°°ø°ÝÀÚµéÀÌ ÀÌ Á¦·Îµ¥À̸¦ ÅëÇØ ¾ÏÈ£ÈÆó ä±¼ Äڵ带 ¿©±â Àú±â ½É±â ½ÃÀÛÇß´Ù¡±°í ¹ßÇ¥ÇßÀ¸¸ç, ¡°±× ¿Ü¿¡µµ ¿©·¯ À¯ÇüÀÇ Ç¥Àû °ø°Ý¿¡µµ È°¿ëµÇ°í ÀÖ´Ù¡±°í °æ°íÇß´Ù.
´ç¿¬È÷ ³ë¿î¼½ 404 ÆÀÀº ÀÌ Ãë¾àÁ¡°ú °³³äÁõ¸í Äڵ带 ¼¼»ó¿¡ °ø°³Çϱâ Àü¿¡ ¿À¶óŬ Ãø¿¡ ¸ÕÀú ¾Ë·È´Ù. ´ç½Ã ÁܾÆÀÌ(ZoomEye)¶ó´Â °Ë»ö ¿£ÁøÀ¸·Î ÀÎÅͳÝÀ» °Ë»öÇغ¸¸é ÀÌ Á¦·Îµ¥ÀÌ°ø°Ý¿¡ ³ëÃâµÈ À¥·ÎÁ÷ ¼¹ö°¡ ¼ö¸¸ °³ ¹ß°ßµÇ¾ú´Ù°í ÇÑ´Ù. (ÀÌ °Ë»ö °á°úµµ ¿À¶óŬ¿¡ °°ÀÌ º¸°íµÇ¾ú´Ù.)
ÀÌ¿¡ ¿À¶óŬÀº À¥·ÎÁ÷ 10.3.6 ¹öÀü°ú 12.1.3 ¹öÀü¿¡ ´ëÇÑ ÆÐÄ¡¸¦ ¹ßÇ¥ÇÏ°í, °í°´µé¿¡°Ô ¡°½Ã±ÞÈ÷ ¼³Ä¡ÇÒ °Í¡±À» ±Ç°íÇß´Ù. ÀÌ Á¦·Îµ¥ÀÌ ¹ß°ß°ú ÆÐÄ¡ ¹èÆ÷¿¡ ´ëÇÑ °ø·Î¸¦ ¿À¶óŬÀº 8¸íÀÇ Àü¹®°¡µé¿¡°Ô µ¹·È´Ù. ÀÌ Áß ³ë¿î¼½ 404 ÆÀÀÇ Àü¹®°¡µéµµ Æ÷ÇԵǾî ÀÖÁö¸¸, ±× ¿Ü Àι°µéµµ ¸î Á¸ÀçÇÑ´Ù.
¿À¶óŬÀº ¡°CVE-2018-2628, CVE-2018-2893, CVE-2017-10271À̶ó´Â, ÀÌÀü¿¡ °ø°³µÈ Ãë¾àÁ¡µé°úµµ °ü·ÃÀÌ ÀÖ´Â º¸¾È °áÇÔÀÎ °ÍÀ¸·Î ÆǸíµÇ¾ú´Ù¡±¸ç, ¡°¹Ìµð¾î °ü·Ã º¸°í ±â´É°ú ¿¬°áµÇ¾î ÀÖ´Ù¡±°í ¼³¸íÇß´Ù. ¶ÇÇÑ À̹ø Á¦·Îµ¥ÀÌ ¿Ü ÀÌ ¼¼ °¡Áö Ãë¾àÁ¡µéÀº ÀüºÎ ÀÌÀü ÆÐÄ¡µé·Î ÀÎÇØ ÇØ°áµÇ¾ú´Ù°í µ¡ºÙ¿´´Ù.
¿À¶óŬÀÇ ÆÐÄ¡´Â ¿©±â(https://blogs.oracle.com/security/security-alert-cve-2019-2725-released)¼ ´Ù¿î·Îµå°¡ °¡´ÉÇÏ´Ù.
°ø°ÝÀÚµéÀÌ ¿À¶óŬ À¥·ÎÁ÷À» ³ë¸®°í °ø°ÝÀ» ½Ç½ÃÇÏ´Â °Ç Á¾Á¾ ¹ß»ýÇÏ´Â ÀÏÀÌ´Ù. À۳⿡µµ ¸î °¡Áö ½É°¢ÇÑ ¿À·ùµéÀÌ ¹ß°ßµÆ°í, À̸¦ °ø°ÝÀÚµéÀÌ Àû±Ø È°¿ëÇÏ´Â »ç·Ê°¡ ÀÖ¾ú´Ù. ¿À¶óŬÀº ´ç½Ã¿¡µµ Áï°¢ÀûÀÎ ÆÐÄ¡ °³¹ß°ú ¹ßÇ¥·Î ´ëÀÀÇß´Ù.
À¥·ÎÁ÷À» ÀͽºÇ÷ÎÀÕ ÇÏ´Â °ø°ÝÀÚµéÀº ´ëºÎºÐ ¾ÏÈ£ÈÆó ä±¼°ú °ü·ÃµÈ °ø°ÝÀ» ½Ç½ÃÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ¹°·Ð ´Ù¸¥ Á¾·ùÀÇ ¸Ö¿þ¾î°¡ µ¿¿øµÇ´Â »ç·Êµµ Á¸ÀçÇÑ´Ù.
3ÁÙ ¿ä¾à
1. ¿À¶óŬÀÇ À¥·ÎÁ÷ ¼¹ö¿¡¼ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¹ß°ßµÊ. °³³äÁõ¸í Äڵ嵵 °°ÀÌ.
2. ±×·±µ¥ ¾ó¸¶ Áö³ªÁö ¾Ê¾Æ °ø°ÝÀÚµéÀÌ ½ÇÁ¦·Î °ø°ÝÀ» ½ÃÀÛÇÔ. ÁÖ·Î ¾ÏÈ£ÈÆó ä±¼ °ø°Ý.
3. ¿À¶óŬ À¥·ÎÁ÷ ¼¹ö »ç¿ëÀÚ¶ó¸é ±ä±ÞÇÏ°Ô ÆÐÄ¡ Àû¿ëÇØ¾ß ¾ÈÀü.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>