2015년 1월 Oracle Critical Patch Update 권고

□ 개요 Oracle Critical Patch Update(CPU)는 Oracle사의 제품을 대상으로 다수의 보안 패치를 발표하는 주요 수단임 Oracle CPU 발표 이후, 관련 공격코드의 출현으로 인한 피해가 예상되는 바 Oracle 제품의 다중 취약점에  대한 패치를 권고함 □ 설명 2015년 1월 Oracle CPU에서는 Oracle 자사 제품의 보안취약점 169개에 대한 패치를 발표함[1] - 원격 및 로컬 공격을 통하여 취약한 서버를 공격하는데 악용될 가능성이 있는 취약점을 포함하여 DB의     가용성 및 기밀성/무결성에 영향을 줄 수 있는 취약점 존재 □ 해당 소프트웨어 Oracle Java SE, version(s) 5.0u75, 6u85, 7u72, 8u25 Oracle Java SE Embedded, version(s) 7u71 Oracle Database Server, version(s) 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1, 12.1.0.2 Oracle Fusion Middleware, version(s) 10.1.3.5, 11.1.1.7, 11.1.2.1, 11.1.2.2, 12.1.2, 12.1.3 Oracle Fusion Applications, versions 11.1.2 through 11.1.9 Oracle Access Manager, version(s) 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2 Oracle Adaptive Access Manager, version(s) 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2 Oracle BI Publisher, version(s) 10.1.3.4.2, 11.1.1.7 Oracle Business Intelligence Enterprise Edition, version(s) 10.1.3.4.2, 11.1.1.7 Oracle Containers for J2EE, version(s) 10.1.3.5 Oracle Directory Server Enterprise Edition, version(s) 7.0, 11.1.1.7 Oracle Exalogic Infrastructure, version(s) 2.0.6.2.0 (for all X2-2, X3-2, X4-2) Oracle Forms, version(s) 11.1.1.7, 11.1.2.2 Oracle GlassFish Server, version(s) 3.0.1, 3.1.2 Oracle HTTP Server, version(s) 10.1.3.5.0, 11.1.1.7.0, 12.1.2.0, 12.1.3.0 Oracle OpenSSO, version(s) 8.0 Update 2 Patch 5 Oracle Real-Time Decision Server, version(s) 11.1.1.7, RTD Platform 3.0.x Oracle Reports Developer, version(s) 11.1.1.7, 11.1.2.2 Oracle SOA Suite, version(s) 11.1.1.7 Oracle Waveset, version(s) 8.1.1 Oracle WebCenter Content, version(s) 11.1.1.8.0 Oracle WebLogic Portal, version(s) 10.0.1.0, 10.2.1.0, 10.3.6.0 Oracle WebLogic Server, version(s) 10.0.2.0, 10.3.6.0, 12.1.1.0, 12.1.2.0, 12.1.3.0 Enterprise Manager Base Platform, version(s) 12.1.0.3, 12.1.0.4 Enterprise Manager Ops Center, version(s) 11.1, 11.1.3, 12.1, 12.1.4, 12.2 Oracle E-Business Suite, version(s) 11.5.10.2, 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4 Oracle Agile PLM, version(s) 9.3.3 Oracle Agile PLM for Process, version(s) 6.1.0.3 Oracle Transportation Management, version(s) 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5 PeopleSoft Enterprise HRMS, version(s) 9.1 PeopleSoft Enterprise PeopleTools, version(s) 8.52, 8.53, 8.54 JD Edwards EnterpriseOne Tools, version(s) 9.1.5 Oracle Enterprise Asset Management, version(s) 8.1.1, 8.2.2 Siebel Applications, version(s) 8.1.1, 8.2.2 Oracle iLearning, version(s) 6.0, 6.1 Oracle Communications Diameter Signaling Router, version(s) 3.x, 4.x, 5.0 Oracle Communications Messaging Server, version(s) 7.0.5.33.0 and prior Oracle MICROS Retail, version(s) Xstore: 3.2.1, 3.4.2, 3.5.0, 4.0.1, 4.5.1, 4.8.0, 5.0.3, 5.5.3, 6.0.6, 6.5.2 Oracle Healthcare Master Person Index, version(s) 1.x, 2.x Oracle JRockit, version(s) R27.8.4, R28.3.4 Fujitsu M10-1, M10-4, M10-4S Servers, version(s) prior to XCP 2240 Integrated Lights Out Manager(ILOM), version(s) prior to 3.2.4 Solaris, version(s) 10, 11 Solaris Cluster, version(s) 3.3, 4.1 SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, version(s) before XCP 1119 Oracle Secure Global Desktop, version(s) 4.63, 4.71, 5.0, 5.1 Oracle VM VirtualBox, version(s) prior to 3.2.26, 4.0.28, 4.1.36, 4.2.28, 4.3.20 MySQL Server, version(s) 5.5.40 and prior, 5.6.21 and prior ※ 영향받는 시스템의 상세 정보는 참고사이트[1]를 참조 □ 해결방안 해결방안으로서 "Oracle Critical Patch Update Advisory - January 2015" 문서를 검토하고 벤더사 및  유지보수업체와 협의/검토 후 패치적용 요망[1] JAVA SE 사용자는 설치된 제품의 최신 업데이트를 다운로드[2] 받아 설치하거나, Java 자동업데이트  설정을 권고[3] □ 기타 문의사항 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html [2] http://www.oracle.com/technetwork/java/javase/downloads/index.html [3] http://www.java.com/ko/download/help/java_update.xml

출처 : KISA 인터넷 침해대응센터 보안공지 - http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=22423