오라클 주요 패치 업데이트 권고 사항 - 2008년 1월

설명

주요 패치 업데이트는 여러 보안 취약점에 대한 패치 모음입니다. 여기에는 상호 의존적 관계에 있기 때문에 이들 보안 패치에서 필요한 비보안 픽스(fix)도 포함되어 있습니다. 아래에 언급된 경우를 제외하고 중요 패치 업데이트는 누적되는 것이 보통이지만, 각 권고 사항은 이전 중요 패치 업데이트 이후 추가된 보안 픽스만을 설명하고 있습니다. 따라서, 앞서 누적된 보안 픽스와 관련된 정보를 위해서는 이전의 중요 패치 업데이트 권고 사항을 검토해야 합니다.

공격이 성공할 경우 닥칠 위협을 생각해 오라클은 고객들이 가능한 신속하게 픽스를 적용할 것을 강력히 권장합니다. 이번 중요 패치 업데이트에는 모든 제품을 망라한 26개의 새로운 보안 픽스가 포함되어 있습니다.

지원 제품 및 영향을 받는 구성 요소

이번 중요 패치 업데이트가 해결한 보안 취약점은 아래 카테고리에 나와 있는 제품에 영향을 미칩니다. 열거된 버전에 대한 패치의 제품 영역은 제품 버전 다음의 대괄호 [ ]에 나와 있습니다. 대괄호 [ ]나 패치 출시 일정 테이블의 링크를 클릭하면 이들 패치에 대한 문서를 액세스할 수 있습니다.

오라클의 평생 지원 정책의 적용을 받는 Premier Support나 Extended Support에서 지원되는 제품 릴리즈 및 버전:

카테고리 I의 제품들과 함께 번들로 제공되는 제품 및 구성 요소
카테고리 II의 제품들은 이번 중요 패치 업데이트에 포함된 픽스에 의해 영향을 받지 않습니다.

독립형 설치 시스템으로서의 지원은 중단되었지만 카테고리 I에 나와 있는 제품들과 함께 설치될 때 지원되는 제품:

카테고리 III 제품을 위한 패치는 카테고리 I 제품의 일부로 설치될 때만 이용할 수 있지만, 지원되는 구성 및 환경에서만 테스트되었습니다. 패치 지원 및 출시 일정에 관한 자세한 내용은 각 제품에 대한 설명서를 참조하십시오.

선택 플랫폼 상에서만 지원되는 제품. 자세한 내용은 추가 문서를 참조하십시오.
카테고리 IV의 제품들은 이번 중요 패치 업데이트에 포함된 픽스에 의해 영향을 받지 않습니다.

패치 출시 일정 테이블 및 위험 측정 지표

업데이트의 Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite Applications (Release 12 only), JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, PeopleSoft Enterprise Portal Applications 및 PeopleSoft Enterprise PeopleTools 패치는 누적되며, 누적 패치 업데이트에 포함된 모든 제품에 대한 패치는 이전 중요 패치 업데이트에서 나온 해당 제품에 대한 모든 픽스를 포함하게 됩니다.

Oracle E-Business Suite Applications Release 11i 패치는 누적되지 않기 때문에 Oracle E-Business Suite 애플리케이션 고객들은 적용하고자 하는 기존 보안 픽스를 확인하기 위해 이전 중요 패치 업데이트를 참조해야 합니다. Oracle Collaboration Suite 패치는 누적 패치로서 2007년 4월 발표된 중요 패치 업데이트에서 제공되는 픽스를 포함하고 있었습니다. 2007년 7월 발표된 중요 패치 업데이트부터 단일 버그 픽스를 고객에게 제공하기 위해 오라클이 일반적으로 사용하는 일회성 패치 인프라를 통해 Oracle Collaboration Suite 보안 픽스가 제공되었습니다.

관리 중인 오라클 제품 각각에 대해서는 아래 테이블에서 패치 출시 일정 및 설치 명령서를 참조하십시오. 이번 중요 패치 업데이트와 관련된 오라클 제품 설명서에 대한 개요는 2008년 1월 오라클 중요 패치 업데이트 문서 맵, MetaLink Note 467880.1을 참조하십시오.

위험 측정 지표 컨텐트

위험 측정 지표는 이 권고 사항과 관련된 패치에 의해 새롭게 수정된 보안 취약점만을 나열하고 있습니다. 이전 보안 픽스에 대한 위험 측정 지표는 이전 중요 패치 업데이트 권고 사항에서 찾아볼 수 있습니다.

이번 중요 패치 업데이트에서 해결한 몇 가지 취약점은 여러 제품에 영향을 미칩니다. 모든 위험 측정 지표에서 같은 Vuln #에서는 동일한 취약점이 나타납니다. 이탤릭체는 다른 제품 영역에 포함된 코드의 취약점을 나타냅니다.

CVSS 버전 2.0(MetaLink Note 394487.1 참조)을 사용해 보안 취약점의 점수를 매겼습니다. 오라클은 중요 패치 업데이트(CPU: Critical Patch Update)에서 해결한 각 보안 취약점을 분석했습니다. 하지만 보안 분석에 관한 정보는 공개하지 않고 있으며, 대신 그 결과 작성된 위험 측정 지표 및 관련 문서를 통해 취약점의 유형, 이러한 취약점을 악용할 수 있는 조건, 취약점 공격이 성공했을 때 발생할 수 있는 결과 등에 대한 정보를 제공하고 있습니다. 오라클이 이렇게 부분적으로나마 정보를 제공하는 것은 고객들이 자신들의 제품 사용 특징을 토대로 자체적으로 위험 분석을 수행할 수 있도록 하기 위한 것입니다. 정책 상의 문제로 오라클은 취약점 공격 조건이나 공격 수행에 악용될 수 있는 결과에 관한 자세한 정보를 공개하지 않고 있습니다. 또한, 중요 패치 업데이트나 보안 경고 통보, 패치 출시 일정 지표, 리드미(readme) 파일 및 FAQ를 통해 제공되는 내용 이상의 추가적인 취약점 정보는 제공하지 않을 것입니다. 오라클은 개별 고객들에게 중요 패치 업데이트나 보안 경고에 대한 사전 통보는 제공하지 않습니다. 마지막으로 오라클은 제품 취약점에 대한 악성 코드와 “개념 증명(proof-of-concept)” 코드 그 어떤 것도 배포하지 않습니다.

T2008년 1월 발표된 중요 패치 업데이트 권고 사항의 위험 측정 지표는 이전 권고 사항의 위첨 측정 지표에서 약간 수정되었습니다. 먼저, 중복된 초기 지원 릴리즈(Earliest Support Release) 열을 없애고 측정 지표 자체에서 해당되는 부분이 없는 추가 정보를 위해 노트(Notes) 열을 추가했습니다. 위험 측정 지표에 대한 자세한 내용은 MetaLink Note 394486.1을 참조하십시오.

임시 해결책

공격이 성공할 경우 닥칠 위협을 생각해 오라클은 고객들이 가능한 신속하게 픽스를 적용할 것을 강력히 권장합니다. 환경에 따라 공격에 필요한 네트워크 프로토콜을 제한함으로써 공격의 위험을 줄일 수 있습니다. 특정 권한이나 특정 패키지에 대한 액세스가 필요한 공격의 경우, 권한을 제거하거나 권한 없는 사용자의 패키지 액세스를 차단함으로써 공격의 위험을 줄일 수 있습니다. 두 접근 방식 모두 애플리케이션 기능에 지장을 가져오기 때문에 오라클은 고객들이 비현업 시스템 상에서 변경 사항을 테스트할 것을 강력히 권장하고 있습니다. 두 방법 모두 기본 문제를 해결하는 것은 아니라는 점에서 장기적 솔루션이 될 수는 없습니다.

비지원 제품 및 지원 중단 버전

비지원 제품, 릴리즈 및 버전은 이번 중요 패치 업데이트에서 해결한 취약점의 존재 여부에 대한 테스트를 거치지 않습니다. 하지만, 영향을 받은 릴리즈의 초기 패치 세트 역시 이들 취약점에 영향을 받을 가능성이 높습니다.

평생 지원 정책(한글PDF)의 적용을 받는 Premier Support 또는 Extended Support가 더 이상 지원하지 않는 제품 버전에 대해서는 중요 패치 업데이트의 패치들이 제공되지 않습니다. 패치 확보를 위해서는 오라클 제품에 대한 최신 지원 버전으로 업그레이드 할 것을 권장합니다.

Extended Support 단계: 중요 패치 업데이트의 패치들은평생 지원 정책(한글PDF)의 적용을 받는 Extended Support를 구입한 고객들에게 제공됩니다. Extended Support 단계의 제품에 대한 중요 패치 업데이트의 패치들을 다운로드하려면 유효한 Extended Support 서비스 계약을 맺어야 합니다. Sustaining Support에서 지원되는 제품들을 업데이트 하기 위해, 또는 모든 비지원 제품을 업데이트 하기 위해 중요 패치 업데이트의 패치들을 다운로드 할 수는 없습니다.

MetaLink Note 209768.1에 설명되어 있는 소프트웨어 오류 수정 지원 정책에 따라 지원 제품들에 대한 패치가 나와 있습니다. 지원 정책 및 지원 단계와 관련된 자세한 지침은 기술 지원 정책을 참조하십시오.

Oracle Database 및 Oracle Application Server를 위한 온 리퀘스트(on request) 모델 공지

오라클은 내역 데이터를 토대로 고객들이 차기 중요 패치 업데이트에서 다운로드할 가능성이 높은 플랫폼/버전 조합에 대해서만 패치를 사전 개발할 생각입니다. 또한, 고객의 요청이 있을 경우에만 과거 활발하게 사용되지 않은 Oracle Database 및 Oracle Application Server의 플랫폼/버전 조합에 대한 패치를 개발하고 있습니다. 취약점에 대한 픽스는 향후 릴리즈 및 패치 세트에 계속해 포함될 것입니다.

차기 중요 패치 업데이트에서 지원될 제품, 버전 및 플랫폼과 온 리퀘스트 패치를 요청하기 위한 프로세스와 관련된 추가 세부 사항은 오라클 서버 및 미들웨어 제품을 위한 중요 패치 업데이트 출시 일정 정보(MetaLink Note 466757.1)의 섹션 4.10(차기 중요 패치 업데이트 릴리즈를 위해 계획된 패치)에 나와 있습니다

Credits

CERT/CC, Application Security, Inc.의 Esteban Martinez Fayo, Pete Finnigan, Joxean Koret, Red Database Security의 Alexander Kornbrust, inTellectPro의 Ali Kumcu, NGS Software의 David Litchfield, CYBSEC S.A.의 Mariano Nunez Di Croce, Digital Security의 Alexandr Polyakov 등 많은 전문가 또는 기관들이 이번 중요 패치 업데이트가 해결한 보안 취약점을 발견하고 오라클의 주의를 환기시켰습니다.

이번 중요 패치 업데이트가 최고 품질을 유지할 수 있도록 도움을 주신 Application Security, Inc.의 Esteban Martinez Fayo에게 특히 감사 드립니다.

중요 패치 업데이트 일정

중요 패치 업데이트는 1월, 4월, 7월 및 10월의 15일에 가장 가까운 화요일에 출시됩니다. 차기 업데이트 날짜는 다음과 같습니다.

• 2008년 4월 15일
• 2008년 7월 15일
• 2008년 10월 14일
• 2009년 1월 13일

• 오라클 중요 패치 업데이트 및 보안 경고 메인 페이지  [ Oracle Technology Network ]
• Oracle PeopleSoft 보안 메인 페이지 [ Customer Connection ]
• 중요 패치 업데이트 – 20008년 1월 문서 맵   [ MetaLink Note 467880.1 ]
• 오라클 중요 패치 업데이트 및 보안 경고 - FAQ [ MetaLink Note 360470.1 ]   [ Customer Connection ]
• 위험 측정 지표 정의 [ MetaLink Note 394486.1 ]   [ Customer Connection ]
• 오라클의 CVSS(Common Vulnerability Scoring System) 사용  [ MetaLink Note 394487.1 ]   [ Customer Connection ]
• 중요 패치 업데이트 및 보안 경고에서 수정된 공개 취약점 목록  [ Oracle Technology Network ]
• 소프트웨어 오류 수정 정책   [ [MetaLink Note 209768.1 ]

수정 내역

Oracle Database 전체 요약

이번 중요 패치 업데이트에는 Oracle Database 제품을 위한 총 8개의 새로운 보안 픽스가 포함되어 있으며 다음과 같이 나누어 볼 수 있습니다.

• Oracle Database를 위한 8개의 새로운 보안 픽스. 이들 데이터베이스 취약점은 인증 없는 원격 공격이 불가능합니다. 즉, 사용자 이름 및 암호를 모르는 상태에서 네트워크를 통한 공격이 불가능합니다. Oracle Database 클라이언트 전용 시스템(Oracle Database가 설치되지 않은 시스템)에는 새로운 보안 픽스가 적용되지 않습니다.
• 아래 제품에 대한 새로운 보안 픽스는 없음
  • Oracle Database와 함께 설치되지 않는 별도 제품인 Oracle Secure Enterprise Search
  • Oracle Database와 함께 설치되지 않는 별도 제품인 Oracle Audit Vault
  • Oracle Database 9i Release 2와 함께 기본 설치되는 Oracle HTTP Server.  Oracle Database 버전 10g 이상인 경우, Oracle HTTP Server는 설치용 CD(Companion CD)를 통해 설치하거나 별도 설치가 가능하며 Oracle Database와 함께 설치되지 않습니다. 오라클은 고객들에게 이전 패치가 적용되지 않은 경우 이전 중요 패치 업데이트에서 수정된 취약점의 영향을 받는 Oracle HTTP Server 설치 시스템에 이번 중요 패치 업데이트를 적용할 것을 권장하고 있습니다. Oracle HTTP Server를 설치하지 않는 한 이 소프트웨어는 시스템에 존재하지 않기 때문에 Oracle HTTP Server 패치가 필요하지 않습니다.
  • 버전 2.2 이상의 Oracle Application Express (이전 HTML DB)는 최신 버전으로 업그레이드 해야 합니다. Oracle Application Express는 Oracle Database와 함께 설치되지 않는 옵션 제품입니다. Oracle Application Express를 설치(일부 Oracle Database 버전의 경우 Oracle Database CD의 설치용 CD를 통해 제공)하지 않는 한 이 소프트웨어는 시스템에 존재하지 않기 때문에 보안 패치가 필요하지 않습니다. 보다 자세한 내용은 2007년 7월 발표된 중요 패치 업데이트 권고 사항의 부록 A를 참조하십시오.

유의 사항:

1. 9.0.1.5+는 Oracle Application Server 10g (9.0.4), 버전 9.0.4.3과 함께만 사용되는 Oracle Database 9i, 버전 9.0.1.5 FIPS+를 뜻합니다.
2. 열거된 버전들은 업그레이드 중인 버전으로, 패치가 필요한 버전입니다.
3. 이 취약점은 Linux 플랫폼에서만 찾아볼 수 있습니다. 다른 플랫폼은 영향을 받지 않습니다.

Oracle Database 클라이언트 전용 시스템

새로운 취약점들은 Oracle Database 클라이언트 전용 시스템(Oracle Database가 설치되지 않은 시스템)에 영향을 미치지 않습니다.

Oracle Secure Enterprise Search

Oracle Secure Enterprise Search 10g는 기업 정보 자산을 검색할 수 있도록 지원하는 독립형 제품입니다. Oracle Secure Enterprise Search 제품을 설치하지 않은 한 이 소프트웨어는 시스템에 존재하지 않기 때문에 추가 조치가 필요하지 않습니다.

이전 중요 패치 업데이트에 열거된 Oracle Secure Enterprise Search 보안 취약점은 Oracle Secure Enterprise Search 10g, 버전 10.1.8.2에서 수정되었습니다. 이전 버전의 Secure Enterprise Search 사용자들은 버전 10.1.8.2로 업그레이드 해야 합니다. Oracle Secure Enterprise Search 업그레이드에 대한 지침은 온라인 설명서에 나와 있습니다. 설치하고자 하는 소프트웨어는 Oracle Technology Network Secure Enterprise Search 페이지에서 참조하십시오.

Oracle Secure Enterprise Search 10g에는 Oracle Database 10g 버전 10.1.0.5가 포함되어 있으며, 이 버전의 Oracle Database에 영향을 미치는 취약점은 Oracle Secure Enterprise Search에 영향을 미칠 수 있습니다. 오라클은 2008년 1월에 발표된 중요 패치 업데이트를 내장된 Oracle Database에 적용하기 앞서 모든 Oracle Secure Enterprise Search 고객들이 오라클 서버 및 미들웨어 제품을 위한 중요 패치 업데이트, MetaLink Note 466757.1를 검토할 것을 강력하게 권장하고 있습니다.

Oracle Audit Vault

Oracle Audit Vault 10g는 여러 시스템에서 감사 데이터를 수집해 분석하기 위한 독립형 제품입니다. Oracle Audit Vault 제품을 설치하지 않은 한 이 소프트웨어는 시스템에 존재하지 않기 때문에 추가 조치가 필요하지 않습니다.

Oracle Audit Vault는 이번 또는 이전 중요 패치 업데이트 권고 사항에 나열된 보안 취약점을 가지고 있지 않습니다. 이전 버전의 Audit Vault 사용자들은 버전 10.2.2.1으로 업그레이드 해야 합니다. Oracle Audit Vault에 관한 자세한 내용은 온라인 설명서에 나와 있습니다. 설치하고자 하는 Audit Vault 소프트웨어는 Oracle Technology Network Audit Vault 페이지에서 참조하십시오.

Oracle Audit Vault 10g에는 Oracle Database 10g 버전 10.2.0.3이 포함되어 있으며, 이 버전의 Oracle Database에 영향을 미치는 취약점은 Oracle Secure Audit Vault에 영향을 미칠 수 있기 때문에 오라클은 고객들에게 2008년 1월 발표된 중요 패치 업데이트를 내장된 Oracle Database에 적용할 것을 권장하고 있습니다.

Oracle Application Express (이전 Oracle HTML DB)

Oracle Application Express (이전 Oracle HTML DB)는 Oracle Database를 위한 고속 웹 애플리케이션 개발 툴입니다. Oracle Database CD 세트에서 제공되는 설치 CD를 통해, 또는 오라클 웹 사이트에서 다운로드 한 패키지를 통해 별도로 Oracle Application Express를 설치하지 않는 한 이 소프트웨어는 시스템에 존재하지 않기 때문에 추가 조치가 필요하지 않습니다.

시스템에 Oracle Application Express가 존재하는지를 확인하려면 SQL 프롬프트에서 SYS로서 아래 명령어를 실행하십시오
select username from dba_users where username in ('FLOWS_010500','FLOWS_010600','FLOWS_020000','FLOWS_020200','FLOWS_030000');

결과가 '선택된 행 없음(no rows selected)'이면 제품이 설치되지 않은 것으로, 추가 조치가 필요하지 않습니다. 다른 결과가 나오면 비록 활발하게 사용되고 있지는 않지만 Oracle Application Express가 설치되어 있다는 뜻입니다.

위의 위험 측정 지표에 나와 있는 Oracle Application Express 보안 취약점이 없습니다. 버전 3.0에서는 이전에 발표된 Oracle Application Express 보안 취약점이 해결되었습니다. 이전의 모든 버전은 3.0.1로 직접 업그레이드 해야 합니다. 업그레이드 지침과 Oracle Application Express 버전 3.0.1을 설치하기 위한 소프트웨어는
http://www.oracle.com/technology/products/database/application_express/download.html에 나와 있습니다.

Oracle Application Server 전체 요약

이번 중요 패치 업데이트에는 Oracle Application Server를 위한 6개의 새로운 보안 픽스가 포함되어 있습니다. 이들 취약점 중 5개는 인증 없는 원격 공격이 가능합니다. 즉, 사용자 이름 및 암호 없이도 네트워크를 통해 공격이 가능합니다. 2개의 새로운 보안 픽스는 클라이언트 전용 시스템(Oracle Application Server를 설치하지 않은 시스템)에 적용할 수 있습니다. CVSS 점수가 9.3인 2개의 취약점은 서버에 영향을 미치지 않습니다.

Oracle Database와 함께 번들로 제공되는 Oracle Application Server 제품은 Oracle Database 섹션에 나와 있는 취약점에 의해 영향을 받습니다. 이들 취약점은 본 섹션에서 더 이상 논의되지 않으며 Oracle Application Server 위험 측정 지표에 나와 있지 않습니다.

유의 사항:

1. 이 JInitiator 취약점은 클라이언트에만 영향을 미칩니다. 서버 취약점은 없습니다. 설치 지침은 MetaLink Note 124606.1을 참조하십시오.
2. 이 Jinitiator 취약점은 Oracle E-Business 애플리케이션 클라이언트에만 영향을 미칩니다. 서버 취약점은 없습니다. 설치 지침은 MetaLink Note 124606.1을 참조하십시오.
3. 위험 측정 지표의 버전들은 JDeveloper의 독립형 버전을 뜻합니다. 이 JDeveloper 취약점은 영향을 받은 가장 최근의 Oracle Application Server 9.0.4.3, 10.1.2.2 및 10.1.3.1 패치 세트에도 영향을 미칩니다.

Oracle Application Server 클라이언트 전용 시스템

AS01 및AS02는 Oracle Application Server 클라이언트 전용 시스템에 영향을 미칩니다.

Oracle Collaboration Suite 전체 개요

이번 중요 패치 업데이트에는 Oracle Collaboration Suite를 위한 1개의 새로운 픽스가 포함되어 있습니다.

이번 중요 패치 업데이트에는 Oracle Collaboration Suite에 포함된 코드의 Oracle Application Server 취약점에 대한 픽스도 포함되어 있습니다. Oracle Collaboration Suite 커스텀 파일로 인해 MetaLink Note 445172.1의 단계도 필요합니다.

Oracle Collaboration Suite는 Oracle Database와 함께 번들로 제공됩니다. Oracle Database 섹션의 Oracle Database 부분에 나와 있는 모든 보안 픽스는 적용 가능합니다. 본 권고 사항에서 참조할 수 있는 Oracle Collaboration Suite 설명서에는 이러한 Oracle Database 문제를 수정하기 위해 Oracle Collaboration Suite 인스턴스 상에 설치해야 하는 패치가 나와 있습니다

1. 이 취약점에 대한 픽스는 Oracle Application Server 및 Oracle Database 중요 패치 업데이트에만 포함되어 있습니다. Oracle Collaboration Suite는 별도의 픽스를 갖추고 있지 않습니다.

Oracle E-Business Suite 및 애플리케이션 전체 요약

이번 중요 패치 업데이트에는 Oracle E-Business Suite를 위한 7개의 새로운 보안 픽스가 포함되어 있습니다. 이들 취약점 중 3개는 인증 없는 원격 공격이 가능합니다. 즉, 사용자 이름 및 암호 없이도 네트워크를 통해 공격이 가능합니다. 이들 보안 취약점은 Oracle E-Business Suite 클라이언트 전용 시스템에는 전혀 영향을 미치지 않습니다.

Oracle E-Business Suite 11i에는 Oracle Reports Developer를 포함해 Oracle9i Application Server, 버전 1.0.2.2 코드가 포함되어 있습니다. 이번 중요 패치 업데이트에서 해결된 3개의 Oracle Application Server 취약점은 이 버전에 영향을 미칩니다.

Oracle E-Business Suite 제품에는 Oracle Database 섹션에 나와 있는 취약점에 영향을 받는 Oracle Database가 포함되어 있습니다. Oracle E-Business Suite 제품의 공격 노출은 Oracle Database 버전에 따라 다릅니다. Oracle Database 취약점은 Oracle E-Business Suite 위험 측정 지표에 나와 있지는 않지만 보안 패치가 필요합니다.

Oracle Life Sciences 애플리케이션(이전 Oracle Pharmaceutical 애플리케이션)만을 위한 새로운 보안 픽스는 없습니다. 하지만, Oracle Life Sciences 애플리케이션에는 이들 제품의 취약점으로 인한 노출을 피하기 위해 보안 패치가 필요한 Oracle Application Server 구성 요소 및 Oracle Database 소프트웨어가 포함되어 있습니다. Oracle Life Sciences 애플리케이션의 공격 노출은 Oracle Application Server 버전 및 사용 중인 Oracle Database에 따라 다릅니다. 자세한 내용은 Oracle Application Server 및 Oracle Database 섹션을 참조하십시오. Oracle Life Sciences 애플리케이션 고객들은 MetaLink Note 467759.1에서 Oracle Application Server 및 Oracle Database 보안 패치 설치에 관한 자세한 내용을 확인해야 합니다. .

Oracle Enterprise Manager 전체 요약

중요 패치 업데이트에는 Oracle Enterprise Manager를 위한 새로운 보안 픽스는 포함되어 있지 않습니다. 최신 Oracle Enterprise Manager 보안 픽스 및 관련 정보는 2007년 10월 발표된 중요 패치 업데이트를 참조하십시오.

Oracle Enterprise Manager 10g Grid Control에는 Oracle Database 및 Oracle Application Server 섹션에 나와 있는 취약점에 의해 영향을 받는 Oracle Database 및 Oracle Application Server 구성 요소가 포함되어 있습니다. Oracle Enterprise Manager의 특정 인스턴스에 영향을 미치는 Oracle Database 및 Oracle Application Server 취약점은 사용 중인 Oracle Database 및 Oracle Application Server 버전에 따라 다릅니다. 자세한 내용은 본 문서의 해당 섹션에 나와 있는 위험 측정 지표를 참조하십시오. 중요 패치 업데이트에는 Oracle Enterprise Manager 환경에 설치할 수 있는 Oracle Database 및 Oracle Application Server를 위한 패치가 포함되어 있으며, 이들 패치는 반드시 설치해야 합니다.

Oracle Enterprise Manager 10g Grid Control 이전의 Oracle Enterprise Manager 릴리즈에는 Oracle Database 섹션에 나와 있는 취약점에 의해 영향을 받는 Oracle Database 구성 요소가 포함되어 있습니다. Oracle Enterprise Manager의 특정 인스턴스에 영향을 미치는 Oracle Database 취약점은 사용 중인 Oracle Database 버전에 따라 다릅니다. 자세한 내용은 본 문서의 해당 섹션에 나와 있는 위험 측정 지표를 참조하십시오. 중요 패치 업데이트에는 Oracle Enterprise Manager 환경에 설치할 수 있는 Oracle Database를 위한 패치가 포함되어 있으며, 이들 패치는 반드시 설치해야 합니다.

Oracle PeopleSoft Enterprise 및 JD Edwards EnterpriseOne 전체 요약

이번 중요 패치 업데이트에는 Oracle PeopleSoft Enterprise PeopleTools를 위한 4개의 새로운 보안 픽스가 포함되어 있습니다. 이들 보안 취약점 가운데 하나는 인증 없이도 원격 공격이 가능합니다. 즉, 사용자 이름 및 암호가 없이도 네트워크를 통해 공격이 가능합니다.

새로운 보안 픽스 중 어떤 것도 JD Edwards 제품에 영향을 미치지 않습니다.