ORACLE Database / WAS (iAS) / SQL 자료실 - 포기하지 않으면 실패하지 않는다!
Vote Reply Modify Delete Forward Prev Next List

  Author   : 조성환 [ ladmin ] Vote: 1786, Hit: 4874, Lines: 53, Category: Etc.
Oracle Database Server에 대한 다중 취약점 패치 권고 (필독)

□ 개요
 o Oracle Critical Patch Update(CPU)는 Oracle사의 제품을 대상으로 다수의 보안 패치를 발표하는 주요 수단임

 o 2006년 1월 Oracle CPU 발표 이후, 관련 공격코드가 출현하여 피해가 예상되는 바
    Oracle Database Server의 다중 취약점에 대한 패치를 권고함

□ 설명
 o 2006년 1월 Oracle CPU에서는 29개의 Database Server 보안취약점에 대한 패치를 발표함
   - 이 가운데는 공격자가 Oracle Net(SQL Net)을 통하여 네크워크상으로 데이터베이스에 접근이 가능하고,
     로그인이 가능한 계정(설치시 생성되는 기본계정 포함)을 하나라도 알고 있는 경우
     SYS 권한으로 임의의 SQL문을 실행할 수 있는 취약점이 포함되어 있음
   - 공격이 성공할 경우 공격자는 데이터베이스관리자(DBA) 권한획득이 가능하여
     사용자 데이터베이스 계정생성, 데이터 유출/변경/생성/삭제 등을 할 수 있음

□ 해당 시스템
 o Oracle Database 10g Release 2, version 10.2.0.1
 o Oracle Database 10g Release 1, versions 10.1.0.3, 10.1.0.4, 10.1.0.5
 o Oracle9i Database Release 2, versions 9.2.0.6, 9.2.0.7
 o Oracle8i Database Release 3, version 8.1.7.4
   ※ 영향받는 시스템의 상세 정보는 참고사이트 [1]을 참조

□ 해결 방법
 o 해결방안으로서 "Oracle Critical Patch Update - January 2006" 문서를 검토하고,
    가능하면 벤더사 및 유지보수업체와 협의/검토 후 패치적용 요망[1]

 o 각 사이트의 사정으로 패치적용이 지연될 경우,
   - 불필요한 계정을 삭제하고 디폴트 패스워드 변경[3][4]
   - 데이터베이스 접근 통제를 구현하여 사용자에게 허가되는 권한을 최소화함으로써, 공격으로 인해 발생될 영향을 제한
   - 가능하면, 영향을 받는 서비스에 대해서는 신뢰된 호스트 및 네트워크들만 액세스할 수 있도록 제한
   - 데이터베이스 보안제품 활용

□ 참고사이트
[1] http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html
[2] http://www.petefinnigan.com/weblog/archives/00000699.htm
[3]“민간사이버안전매뉴얼 기업 정보보호담당자용”, 228p ~ 231p, 2004,
   http://www.boho.or.kr/notice/9_1_read.jsp?u_id=38&board_id=1
[4] http://updates.oracle.com/ARULink/PatchDetails/process_form?patch_num=4926128
   (Metalink 계정 필요)

□ FAQ
[1] Oracle Net이란 무엇입니까?
클라이언트가 네트워크를 통하여 데이터베이스 서버에 접속할 수 있는 기능을 제공하는 미들웨어입니다.
[2] 방화벽을 사용하여 외부에서 내부 Database로의 접속을 차단해 놓은 경우에도 공격을 당할 수 있습니까?
외부로 부터의 공격에는 비교적 안전하나 기업 내부자에 의한 권한 상승은 가능하므로 패치가 요망됩니다.
[3] 설치시 기본적으로 생성되는 미사용 계정을 삭제하거나 비밀번호를 변경한 경우 패치를 적용하지 않아도 됩니까?
미사용 기본계정을 삭제 또는 비밀번호를 변경한 경우 해당 취약점을 이용한 공격에는 비교적 안전할 수 있으나 장기적으로는 패치가 요망됩니다.
 
[4] 패치적용시 기존에 서비스하던 응용프로그램 안정성에는 문제가 없나요?
Oracle 고객지원센터 및 유지보수업체 등을 통하여 사전 검증을 하고 패치를 적용하시는 것이 바람직 합니다.


Prev: Oracle Critical Patch Update (CPU) 보안패치 [초강추]
Next: Oracle (9i) Database PatchSet 설치 가이드 [초강추]
2006/05/26(14:44) from 203.234.120.78
CrazyWWWBoard 2000

Vote Reply Modify Delete Forward Prev Next List
(c) Nobreak Technologies, Inc.