Oracle Critical Patch Update - 2007년 7월
설명
Critical Patch Update(CPU)는 다수의 보안 취약점에 대한 패치를 포함하는 컬렉션입니다. CPU에는 (종속성 문제로) 보안과 직접 관련되지는 않으나 보안 업데이트에 의해 요구되는 패치가 함께 포함되어 있습니다. 오라클은 고객이 취약점 공격으로 인한 리스크를 제거하기 위해 가능한 빠른 시일 안에 패치를 적용할 것을 권고하고 있습니다. 이 Critical Patch Update는 는 전체 오라클 제품에 대한 45 가지의 보안 패치를 포함하고 있습니다.
지원 플랫폼 및 컴포넌트
이 Critical Patch Update를 통해 보안 취약점의 해결이 가능한 제품의 목록을 아래 카테고리에서 확인하실 수 있습니다. 제시된 버전의 패치에 대한 제품 영역은 제품 버전에 뒤따르는 "[]" 기호와 함께 표시되고 있습니다. "[]" 기호로 표시된 링크를 클릭하거나 Patch Availability Table
을 통해 패치 관련 문서를 확인하시기 바랍니다.
Category I
Oracle Lifetime Support 정책에 의해 Premier Support 또는 Extended Support 범위에서 지원되는 제품 버전:
| • Oracle Database 10g Release 2, versions 10.2.0.2, 10.2.0.3 |
[
Database
] |
| • Oracle Database 10g, version 10.1.0.5 |
[
Database
] |
| • Oracle9i Database Release 2, versions 9.2.0.7, 9.2.0.8, 9.2.0.8DV |
[
Database
] |
| • Oracle Application Express (구제품명 HTML DB), versions 1.5 - 2.2 |
[
Application Express 다운로드 페이지 (OTN)
] |
| • Oracle Secure Enterprise Search 10g, versions 10.1.6, 10.1.8 |
[
Secure Enterprise Search (OTN)
] |
| • Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0, 10.1.3.3.0 |
[
Application Server
] |
| • Oracle Application Server 10g Release 2 (10.1.2), versions 10.1.2.0.1 - 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0 |
[
Application Server
] |
| • Oracle Application Server 10g (9.0.4), version 9.0.4.3 |
[
Application Server
] |
| • Oracle10g Collaboration Suite, version 10.1.2 |
[
Collaboration Suite
] |
| • Oracle E-Business Suite Release 11i, versions 11.5.8 - 11.5.10 CU2 |
[
E-Business Suite
]
|
| • Oracle E-Business Suite Release 12, versions 12.0.0, 12.0.1 |
[
E-Business Suite
]
|
| • Oracle PeopleSoft Enterprise PeopleTools versions 8.22, 8.47, 8.48, 8.49 |
[
PeopleSoft/JDE
]
|
| • Oracle PeopleSoft Enterprise Human Capital Management versions 8.9, 9.0 |
[
PeopleSoft/JDE
]
|
| • Oracle PeopleSoft Enterprise Customer Relationship Management versions 8.9, 9.0 |
[
PeopleSoft/JDE
]
|
Category II
Category I의 제품과 번들된 제품 및 컴포넌트
이 카테고리에는 본 Critical Patch Update에 의해 영향 받는 제품이 존재하지 않습니다.
Category III
스탠드얼론 제품으로는 지원이 중단되었으나, Category I에 포함된 제품과 함께 설치된 경우 지원 가능한 제품:
| • Oracle9i Database, version 9.0.1.5 FIPS+ |
[
Application Server
] |
| • Oracle9i Application Server Release 1, version 1.0.2.2 |
[
E-Business Suite
] |
Category III 제품을 위한 패치는 해당 제품이 Category I 제품의 일부로서 설치된 경우에만 사용ㅇ이 가능하며, 지원 가능한 구성 및 환경에서만 테스트되었습니다. 각 제품별 패치 지원 범위에 대한 상세 정보는 제품 문서를 참고하시기 바랍니다.
Category IV
특정 플랫폼에 대해서만 지원되는 제품이 이 카테고리에 포함됩니다. 자세한 정보는 별도 제공되는 제품 문서를 참고하십시오.
이 카테고리에는 본 Critical Patch Update에 의해 영향 받는 제품이 존재하지 않습니다.
패치 공개 정보 및 Risk Matrix
Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite Applications (Release 12만 해당), JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, PeopleSoft Enterprise Portal Applications, PeopleSoft Enterprise PeopleTools 패치는 누적적으로 제공됩니다. 각각의 Critical Patch Update는 기존의 Critical Patch Update들을 포함하고 있습니다.
Oracle E-Business Suite Applications Release 11i 패치는 누적적으로 제공되지 않으며, 따라서 Oracle E-Business Suite Applications 고객들은 기존의 Critical Patch Update를 함께 참고해야 합니다. Oracle Collaboration Suite 패치는 April 2007 Critical Patch Update에서 제공되는 패치 내용까지 누적적으로 제공됩니다. July 2007 Critical Patch Update 이후로는 오라클의 패치 인프라스트럭처를 기반으로 Oracle Collaboration Suite 보안 업데이트를 제공하게 됩니다.
각 오라클 제품의 패치 정보와 설치 방법을 설명하는 문서는 아래 표에서 확인할 수 있습니다. Critical Patch Update에 관련된 오라클 제품 문서 개요 정보는 Oracle Critical Patch Update July 2007 Documentation Map (MetaLink Note 432868.1) 에서 확인할 수 있습니다.
Risk Matrix 컨텐트
Risk Matrix는 아래의 권고 사항과 연관된 보안 취약점의 패치 정보만을 수록하고 있습니다. 이전에 제공되던 보안 픽스의 Risk Matrix는
기존의 Critical Patch Update Advisory에서 확인할 수 있습니다.
이 Critical Patch Update는 다수 제품에 영향을 미치는 여러 가지 보안 취약점을 해결하고 있습니다. 각각의 보안 취약점은 Risk Matrix의
Vuln #로 참조됩니다. 기울임꼴 글씨체는 코드의 취약점이 다른 제품 영역에 포함되어 있음을 의미합니다.
오라클은 Critical Patch Update(CPU) 또는 Security Alert에서 다루어지는 각 보안 취약점에 대한 분석 작업을 수행합니다. 보안 분석 결과(취약점 유형, 공격 가능한 상황, 공격 성공 시의 결과 등)는 관련 문서에 수록되어 있습니다. 오라클은 고객들이 내부적인 제품 활용 방안에 따라 자체적인 리스크 분석을 수행할 수 있도록 지원하기 위한 목적에서 이 정보를 제공하고 있습니다. 오라클은 정책 상, 보안 공격에 이용될 수 있는 조건 또는 결과에 대한 상세 정보를 공개하지 않습니다. 오라클은 CPU 또는 Security Alert, Patch Availability Matrix, README 파일, FAQ 등을 통해 제공되는 것 이외의 추가적인 정보를 제공하지 않습니다. 오라클은 개별 고객에게 CPU 또는 Security Alert를 사전 제공하지 않습니다. 마지막으로, 오라클은 제품 취약점의 공격에 활용 가능한 악성 코드 또는 "PoC(proof-of-concept)" 코드를 배포하지 않습니다.
우회적 해결 방안
오라클은 고객이 취약점 공격으로 인한 리스크를 제거하기 위해 가능한 빠른 시일 안에 패치를 적용할 것을 권고하고 있습니다.
환경에 따라, 공격에 사용되는 네트워크 프로토콜을 제한함으로써 성공적인 공격의 위험을 경감하는 것이 가능합니다. 특정 권한 또는 특정 패키지에 대한 권한을 필요로 하는 공격의 경우, 권한을 제거하거나 관리 권한을 가진 사용자의 패키지 접근을 차단함으로써 성공적인 공격의 위험을 경감할 수 있습니다. 두 가지 접근법 모두 애플리케이션 기능이 제한될 수 있는 위험이 있으므로, 오라클은 변경 내역을 스테이징 환경에서 테스트할 것을 강력하게 권고합니다. 이러한 접근법들은 근본적인 문제를 해결하는 것이 아니므로 장기적인 해결책으로서 고려될 수는 없습니다.
지원되지 않는 제품과 지원 종료된 버전
지원되지 않는 제품, 릴리즈 및 버전은 Critical Patch Updated 개발 과정에서 그 취약점이 테스트되지 않습니다. 하지만 취약점의 영향을 받는 버전에 대한 기존의 패치셋을 통해 이 취약점이 해결되었을 가능성은 있습니다.
Critical Patch Update 패치는
Lifetime Support Policy의 Premier Support 또는 Extended Support 단계에 해당되지 않는 제품 버전을 지원하지 않습니다. 오라클은 최신 버전의 오라클 제품으로 업그레이드한 후 패치를 적용할 것을 권고합니다.
Extended Support 단계:
Critical Patch Update 패치는
Lifetime Support Policy의 Extended Support를 구입한 고객에게 제공됩니다. 고객이 Critical Patch Update 패치를 다운로드하려면 합당한 Extended Support 서비스 계약을 체결 중이어야 합니다. Critical Patch Update 패치는 Sustaining Support를 통해 지원되는 프로그램의 업데이트, 또는 지원되지 않는 프로그램의 업데이트를 위해 다운로드될 수 없습니다.
지원되는 제품들은
레퍼런스 섹션에 링크된 CPU Frequently Asked Questions 문서에 요약된 Critical Patch Update 정책에 준하여 패치됩니다. 지원 정책 및 지원 단계에 관련한 가이드라인이 필요하신 경우 기술 지원 정책 을 참고하시기 바랍니다.
Oracle Database 및 Oracle Application Server를 위한 On Request 모델 공지
고객에 대한 지원 개선을 위해, 오라클은 히스토리 데이터에 기반하여 고객이 향후 Critical Patch Update를 필요로 하는 플랫폼/버전 조합에 대해서만 패치를 미리 개발합니다. 오라클은 고객이 요청한 경우에만, 기본적으로 구현된 Critical Patch Update가 지원하지 않는 Oracle Database 및 Oracle Application Server의 플랫폼/버전 조합을 위한 패치를 개발합니다. 취약점에 대한 픽스는 향후 릴리즈 및 패치 셋에도 계속적으로 포함될 것입니다.
다음으로 공개될 Critical Patch Update에서 지원되는 제품, 버전, 플랫폼 관련 상세 정보와 On Request 패치의 요청 프로세스는 "Critical Patch Update Availability Information for Oracle Server and Middleware Products"
(MetaLink Note 432873.1)의 Section 4.10(Planned Patches for Next CPU release)에서 확인할 수 있습니다.
감사의 말씀
이번 Critical Patch Update에서 해결된 보안 취약점에 관련한 정보를 오라클에 제공해 주신 분들과 기관들이 다음과 같습니다: Application Security, Inc.의 Esteban Martinez Fayo; Integrigy의 Jack Kanter와 Stephen Kost; Imperva의 Guy Karlebach; Joxean Koret; Red Database Security GmbH의 Alexander Kornbrust; Michael Krax; Next Generation Security Software Ltd David Litchfield와 Paul M. Wright.
Critical Patch Update 스케줄
Critical Patch Updates는 1월 4월, 7월, 10월의 15일에 가장 근접한 화요일에 공개됩니다. 향후 공개 일정이 아래와 같습니다.
- 2007년 10월 16일
- 2008년 1월 15일
- 2008년 4월 15일
- 2008년 7월 15일
레퍼런스
변경 히스토리
| 2007-JUL-19 |
Oracle Collaboration Suite Risk Matrix 업데이트됨. AS02는 AS01로 올바르게 수정됨
|
| 2007-JUL-17 |
1차 공개
|
Appendix A - Oracle Database
Oracle Database 요약 정보
이 Critical Patch Update는 오라클 데이터베이스 제품을 위한 19가지의 새로운 보안 픽스를 포함하고 있습니다.
-
오라클 데이터베이스를 위한 17 종류의 새로운 보안 픽스. 이 중 2가지 취약점은 인증 과정을 거치지 않고 원격으로 공격 가능합니다. 다시 말해, 유저네임과 패스워드를 사용하지 않고도 네트워크를 통해 공격될 수 있습니다. 오라클 데이터베이스의 "client-only" 설치본(오라클 데이터베이스가 설치되지 않은 설치본)에 대한 새로운 보안 픽스는 제공되지 않습니다.
-
Oracle Secure Enterprise Search를 위한 새로운 보안 픽스는 제공되지 않습니다. 이 제품은 Oracle Database와 함께 설치되지 않는 별도의 제품입니다. 하지만, 보안 픽스를 하부 제품에 설치하기 전에 Oracle Secure Enterprise Search의 최신 버전으로 업그레이드해야 합니다.
-
Oracle Audit Vault를 위한 새로운 보안 픽스는 제공되지 않습니다. 이 제품은 Oracle Database와 함께 설치되지 않는 별도의 제품입니다. 하지만, 보안 픽스를 하부 제품에 설치하기 전에 Oracle Audit Vault의 최신 버전으로 업그레이드해야 합니다.
- Oracle HTTP Server를 위한 새로운 보안 픽스는 제공되지 않습니다. 오라클은 Oracle HTTP Server가 설치된 환경에 이전 버전의 패치가 적용되지 않은 상태에서 이전 버전의 Critical Patch Update에 의해 해결된 취약점이 문제가 되는 경우, 이 Critical Patch Update를 적용할 것을 권고합니다. Oracle HTTP Server는 Oracle Database와 함께 설치되지 않는 별도의 제품입니다. Oracle HTTP Server를 별도로 설치 하지 않았다면 Oracle HTTP Server 패치를 적용할 필요가 없습니다. Oracle Database 9i Release 2 또는 그 이전의 Oracle Database에서는 Oracle HTTP Server를 데이터베이스의 옵션 컴포넌트로 설치할 수 있었습니다. Oracle Database versions 10g 및 이후 버전에서는 Companion CD를 통해 Oracle HTTP Server를 별도 제공하고 있습니다.
- Oracle Internet Directory를 위한 1개의 새로운 보안 픽스가 제공됩니다. Oracle Internet Directory는 Oracle Database 9i Release 2와 별도로 제공되는 옵션 제품으로, 디폴트 설정에서 오라클 데이터베이스와 함께 설치되지 않습니다. Oracle Internet Directory를 별도로 설치 하지 않았다면 Oracle Internet Directory 패치를 적용할 필요가 없습니다.
-
Oracle Application Express(구제품명 HTML DB)를 위한 1개의 새로운 보안 픽스가 제공됩니다. Oracle Application Express는 오라클 데이터베이스와 함께 설치되지 않는 별도의 옵션 제품입니다. Oracle Application Express를 별도로 설치하지 않았다면(제품은 일부 Oracle Database 버전의 Oracle Database CD 중 Companion CD에서 제공됩니다) 이 패치를 적용할 필요가 없습니다.
Oracle Database Risk Matrix
| Vuln# |
컴포넌트 |
프로토콜 |
요구되는 패키지 또는 권한 |
인증을 거치지 않은 원격 공격 가능 여부 |
CVSS VERSION 1.0 RISK (394486.1 참고) |
영향받는 가장 오래된 버전 |
영향 받는 가장 최근의 패치 셋 (Supported Release 기준) |
| 베이스 스코어 |
접근 경로 |
접근 복잡성 |
인증 |
기밀성 |
무결성 |
가용성 |
| DB01 |
JavaVM |
Oracle Net |
Execute on DBMS_JAVA_TEST |
No |
4.2 |
Remote |
Low |
Required |
Partial+ |
Partial+ |
Partial+ |
10g |
10.1.0.5, 10.2.0.3 |
| DB02 |
Advanced Queuing |
Oracle Net |
Execute on SYS.DBMS_PRVTAQIS |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
9i |
9.0.1.5+, 9.2.0.7, 10.1.0.5 |
| DB03 |
DataGuard |
Oracle Net |
Execute on SYS.DBMS_DRS |
No |
2.8 |
Remote |
Low |
Required |
None |
Partial |
Partial+ |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
| DB04 |
Oracle Data Mining |
Oracle Net |
Execute priv on DMSYS.DMP_SYS |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
None - See Note Below |
None - See Note Below |
| DB05 |
Oracle Text |
Oracle Net |
Create Session |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
10g |
10.1.0.5 |
| DB06 |
Oracle Text |
Oracle Net |
Execute on CTXSYS.DRVXMD |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
10g |
10.1.0.5 |
| DB07 |
Oracle Text |
Oracle Net |
Execute on CTXSYS.DRI_MOVE_CTXSYS |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
10g |
10.1.0.5 |
| DB08 |
Oracle Text |
Oracle Net |
Execute on CTXSYS.DRVXMD |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
10g |
10.1.0.5 |
| DB09 |
Oracle Text |
Oracle Net |
Create Session |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
10g |
10.1.0.5, 10.2.0.3 |
| DB10 |
PL/SQL |
Oracle Net |
Execute on SYS.DBMS_STANDARD |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
| DB11 |
Rules Manager |
Oracle Net |
Execute on EXFSYS.DBMS_RLMGR_UTL |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
10gR2 |
10.2.0.3 |
| DB12 |
Spatial |
Oracle Net |
Execute on MDSYS.MD |
No |
2.8 |
Remote |
Low |
Required |
None |
Partial |
Partial+ |
9i |
9.0.1.5+, 9.2.0.7, 10.1.0.5 |
| OID01 |
Oracle Internet Directory |
LDAP |
None |
Yes |
2.3 |
Remote |
Low |
Not Required |
Partial |
None |
None |
9iR2 |
9.2.0.8, 9.2.0.8DV |
| DB13 |
Progam Interface |
Oracle Net |
None |
Yes |
2.3 |
Remote |
Low |
Not Required |
None |
None |
Partial+ |
10gR2 |
10.2.0.3 |
| DB14 |
JavaVM |
Oracle Net |
None |
No |
2.2 |
Remote |
High |
Required |
Partial |
Partial |
None |
10g |
10.1.0.5 |
| DB15 |
Spatial |
Oracle Net |
Execute on MDSYS.SDO_GEOR_INT |
No |
1.4 |
Remote |
Low |
Required |
None |
None |
Partial |
10g |
10.1.0.5, 10.2.0.3 |
| DB16 |
Spatial |
Oracle Net |
Execute on MDSYS.RTREE_IDX |
No |
1.4 |
Remote |
Low |
Required |
None |
None |
Partial |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
| DB17 |
SQL Compiler |
Oracle Net |
Create Session |
No |
1.4 |
Remote |
Low |
Required |
None |
Partial |
None |
9i |
9.0.1.5+, 9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.3 |
참고:
- DB04를 위한 픽스는 모든 지원되는 제품에 포함되어 있습니다.products. 지원되는 제품에 대한 자세한 정보는 지원되지 않는 제품 및 지원 종료된 버전 섹션을 참고하시기 바랍니다. 지원되지 않는 버전을 사용 중인 고객은 지원되는 버전으로 업그레이드해야 합니다.
- 9.0.1.5+는 Oracle Application Server 10g(9.0.4.3)와 함께 사용되는 Oracle Database 9i 9.0.1.5 FIPS+ 버전을 의미합니다.
Oracle Database "Client-only" 설치
오라클 데이터베이스의 "client-only" 설치본(오라클 데이터베이스가 설치되지 않은 설치본)에 대한 새로운 보안 픽스는 제공되지 않습니다.
Oracle Secure Enterprise Search
Oracle Secure Enterprise Search 10g 는 기업의 엔터프라이즈 정보 자산 검색을 위한 스탠드얼론 제품입니다. Oracle Secure Enterprise Search 제품을 별도로 설치하지 않은 경우 패치 작업이 불필요 합니다.
과거에 제공된 Critical Patch Update의 취약점 목록에 포함된 Oracle Secure Enterprise Search 보안 취약점은 Oracle Secure Enterprise Search 10g 10.1.8.1에서 해결되었습니다. 이전 버전의 Secure Enterprise Search를 사용 중인 고객은 버전 10.1.8.1로 업그레이드해야 합니다. Oracle Secure Enterprise Search 업그레이드 방법에 대한 설명은 온라인 제품 문서에서 확인할 수 있습니다. 온라인 제품 문서와 소프트웨어 다운로드 정보는 오라클 테크놀로지 네트워크의 Secure Enterprise Search 페이지
(http://www.oracle.com/technology/global/kr/products/oses/index.html)에서 확인할 수 있습니다.
Oracle Secure Enterprise Search 10g는 Oracle Database 10g 10.1.0.5를 포함하고 있습니다. 이 데이터베이스 버전에 영향을 미치는 취약점은 Oracle Secure Enterprise Search에도 영향을 미칠 수 있으며, 오라클은 고객이 임베드된 데이터베이스에 July 2007 Critical Patch Update를 적용할 것을 권고하고 있습니다.
Oracle Audit Vault
Oracle Audit Vault 10g는 다수의 시스템으로부터 감사 데이터를 수집, 분석하는 스탠드얼론 제품입니다. Oracle Audit Vault 제품을 별도로 설치하지 않은 경우라면 패치 작업이 불필요 합니다.
Oracle Audit Vault는 새로운 제품이며, 따라서 과거의 Critical Patch Update에 보안 취약점 정보가 등록되어 있지 않습니다. Oracle Audit Vault 10g는 Oracle Database 10g 10.2.0.3을 포함하고 있습니다. 이 데이터베이스 버전에 영향을 미치는 취약점은 Oracle Audit Vault에도 영향을 미칠 수 있으며, 오라클은 고객이 임베드된 데이터베이스에 July 2007 Critical Patch Update를 적용할 것을 권고하고 있습니다. Oracle Audit Vault에 관련한 정보는 온라인 제품 문서에서 확인할 수 있습니다. 온라인 제품 문서와 소프트웨어 다운로드 정보는 오라클 테크놀로지 네트워크의 Audit Vault 페이지(http://www.oracle.com/technology/global/kr/products/audit-vault/index.html)에서 확인할 수 있습니다.
Oracle Application Express (구제품명 Oracle HTML DB) Risk Matrix
| Vuln# |
컴포넌트 |
프로토콜 |
요구되는 패키지 또는 권한 |
인증을 거치지 않은 원격 공격 가능 여부 |
CVSS VERSION 1.0 RISK (394486.1 참고) |
영향 받는 가장 오래된 버전 |
영향 받는 가장 최근의 패치 셋 (Supported Release 기준) |
| 베이스 스코어 |
접근 경로 |
접근 복잡성 |
인증 |
기밀성 |
무결성 |
가용성 |
| APEX01 |
Application Express |
HTTP |
Application Express Developer Account |
No |
4.2 |
Remote |
Low |
Required |
Partial |
Partial |
Partial |
2.2.0.00.32 |
3.0.0.00.20 |
Oracle Application Express(구제품명 Oracle HTML DB) 개요
Oracle Application Express(구제품명: HTML DB)는 오라클 데이터베이스 환경을 위한 RAD 웹 애플리케이션 개발 도구입니다. Oracle Database CD 셋에 포함된 Companion CD에서 또는 오라클 웹 사이트의 패키지 다운로드를 통해 Oracle Application Express를 별도로 설치하지 않았다면 별도의 패치 작업이 불필요합니다.
Database 10g의 Companion CD는 HTML DB(현재 제품명 Application Express) 버전 1.5를 포함하고 있습니다.
Database 10g Release 2의 Companioin CD는 HTML DB(현재 제품명 Application Express) 버전 1.6.1을 포함하고 있습니다.
시스템에 Application Express이 설치되어 있는지 확인하려면 SYS 계정으로 로그인한 뒤 SQL 프롬프트에서 아래 명령을 실행하면 됩니다:
select username from dba_users where username in ('FLOWS_010500','FLOWS_010600','FLOWS_020000','FLOWS_020200','FLOWS_030000');
'no rows selected'와 같은 결과가 나온다면 제품은 설치되어 있지 않으며 별도의 조치가 불필요합니다. 그 밖에 다른 결과가 나온다면 Oracle Application Express가 설치되어 있는 것으로 볼 수 있습니다.
Oracle Application Express의 업그레이드
위의 Risk Matrix에 포함된 Oracle Application Express의 보안 취약점은 버전 3.0에서 해결되었습니다. 이전 버전을 사용 중인 고객은 버전 3.0.1로 업그레이드해야 합니다. Oracle Application Express 버전 3.0.1로의 업그레이드 방법 및 소프트웨어 다운로드에 대한 정보는 다음 페이지에서 확인할 수 있습니다:
http://www.oracle.com/technology/global/kr/products/database/application_express/download.html
Appendix B - Oracle Application Server
Oracle Application Server 요약
이 Critical Patch Update는 Oracle Application Server에 관련된 4 가지의 보안 패치를 포함하고 있습니다. 이 중 3가지 취약점은 인증 과정을 거치지 않고 원격으로 공격 가능합니다. 다시 말해, 유저네임과 패스워드를 사용하지 않고도 네트워크를 통해 공격될 수 있습니다. 2 가지 새로운 보안 픽스는 오라클 데이터베이스의 "client-only" 설치본(오라클 데이터베이스가 설치되지 않은 설치본)에 적용 가능합니다.
오라클 데이터베이스와 번들된 Oracle Application Server 제품은 Oracle Database 섹션에서 설명된 취약점의 영향을 받습니다. 이 취약점에 대한 정보는 이 섹션에서 설명되지 않습니다.
Oracle Application Server Risk Matrix
| Vuln# |
컴포넌트 |
프로토콜 |
요구되는 패키지 또는 권한 |
인증을 거치지 않은 원격 공격 가능 여부 |
CVSS VERSION 1.0 RISK (394486.1 참고) |
영향 받는 가장 오래된 버전 |
영향 받는 가장 최근의 패치 셋 (Supported Release 기준) |
| 베이스 스코어 |
접근 경로 |
접근 복잡성 |
인증 |
기밀성 |
무결성 |
가용성 |
| OID01 |
Oracle Internet Directory |
LDAP |
None |
Yes |
2.3 |
Remote |
Low |
Not Required |
Partial+ |
None |
None |
9.0.4 |
9.0.4.3, 10.1.2.0.2, 10.1.2.2 |
| JDEV01 |
Oracle Jdeveloper |
HTTP |
Custom Applications Using JBO.KEY |
Yes |
2.3 |
Remote |
Low |
Not Required |
None |
None |
Partial+ |
10.1.2 |
10.1.2.2 |
| AS01 |
Oracle Single Sign On |
HTTP |
None |
Yes |
2.3 |
Remote |
Low |
Not Required |
None |
Partial |
None |
9.0.4 |
9.0.4.3, 10.1.2.0.2 |
| JDEV02 |
Oracle JDeveloper |
HTTP |
Custom Applications Using JBO.SERVER |
No |
1.3 |
Local |
High |
Not Required |
None |
Partial |
None |
10.1.2 |
10.1.2.2, 10.1.3.1 |
참고:
- JDEV01, JDEV02에서 다루어지는 취약점들은 특정 기능을 이용하는 커스텀 애플리케이션에만 영향을 미칩니다.
Oracle JDeveloper Vulnerability Fixes
JDeveloper는 오라클 테크놀로지 네트워크에서 제공되는 Oracle Application Server 배포본 또는 스탠드얼론 배포본을 이용해 설치할 수 있습니다. Oracle Application Server 배포본에 포함된 CPU 보안 픽스에 관련한 정보는 다음 문서를 참고하시기 바랍니다: Critical Patch Update Availability Information for
Oracle Server and Middleware Products
(MetaLink Note 432873.1).
JDEV01, JDEV02 보안 픽스를 포함하는 JDeveloper 스탠드얼론 배포본을 필요로 하는 경우 오라클 테크놀로지 네트워크에서 JDeveloper 10.1.3.2.0 이후 버전을 다운로드하시기 바랍니다.
Oracle Application Server "Client-only" 설치
이 Critical Patch Update에 의해 해결된 취약점들 중 2가지는 Oracle JDeveloper "client-only" 설치 환경에 영향을 미칩니다. 이 취약점에 대한 정보는 위 Risk Matrix의 JDEV01, JDEV02에서 확인할 수 있습니다. Oracle JDeveloper 컴포넌트가 설치된 모든 머신에는 Critical Patch Update가 적용되어야 합니다.
Appendix C - Oracle Collaboration Suite
Oracle Collaboration Suite 요약
이 Critical Patch Update에는 1개의 Oracle Collaboration Suite 관련 보안 픽스가 포함되어 있습니다. 이 취약점은 인증 과정을 거치지 않고 원격으로 공격 가능합니다. 다시 말해, 유저네임과 패스워드를 사용하지 않고도 네트워크를 통해 공격될 수 있습니다. 이 취약점은 Oracle Collaboration Suite "client-only" 설치 환경에 적용될 수 있습니다.
Critical Patch Update는 Oracle Collaboration Suite의 코드에 포함된 4가지 Oracle Application Server 취약점의 보안 픽스를 포함하고 있습니다.
Oracle Collaboration Suite는 오라클 데이터베이스를 번들로 포함하고 있습니다. 따라서 Oracle Database 섹션에서 설명된 오라클 데이터베이스 관련 보안 픽스를 모두 적용할 수 있습니다. 본 페이지에 링크된 Oracle Collaboration Suite 제품 문서를 통해 Oracle Collaboration Suite 환경에서 해결되어야 하는 오라클 데이터베이스 보안 문제의 목록을 확인할 수 있습니다.
Oracle Collaboration Suite Risk Matrix
| Vuln# |
컴포넌트 |
프로토콜 |
요구되는 패키지 또는 권한 |
인증을 거치지 않은 원격 공격 가능 여부 |
CVSS VERSION 1.0 RISK (see 394486.1) |
영향 받는 가장 오래된 버전 |
영향 받는 가장 최근의 패치 셋 (Supported Release 기준) |
| 베이스 스코어 |
접근 경로 |
접근 복잡성 |
인증 |
기밀성 |
무결성 |
가용성 |
| OCS01 |
Instant Messaging/Presence |
HTTP |
Valid Session |
Yes |
2.3 |
Remote |
Low |
Not Required |
None |
Partial |
None |
10.1.2 |
10.1.2 |
| OID01 |
Oracle Internet Directory |
LDAP |
None |
Yes |
2.3 |
Remote |
Low |
Not Required |
Partial+ |
None |
None |
10.1.2 |
10.1.2 |
| AS01 |
Oracle Single Sign On |
HTTP |
None |
Yes |
2.3 |
Remote |
Low |
Not Required |
None |
Partial |
None |
10.1.2 |
10.1.2 |
| JDEV01 |
Oracle Jdeveloper |
HTTP |
Custom Applications Using JBO.KEY |
Yes |
2.3 |
Remote |
Low |
Not Required |
None |
None |
Partial+ |
10.1.2 |
10.1.2 |
| JDEV02 |
Oracle JDeveloper |
HTTP |
Custom Applications Using JBO.SERVER |
No |
1.3 |
Local |
High |
Not Required |
None |
Partial |
None |
10.1.2 |
10.1.2 |
Appendix D - Oracle E-Business Suite and Applications
Oracle E-Business Suite & Applications 요약
이 Critical Patch Update는 Oracle E-Business Suite에 관련된 14 가지의 보안 패치를 포함하고 있습니다. 이 중 6가지 취약점은 인증 과정을 거치지 않고 원격으로 공격 가능합니다. 다시 말해, 유저네임과 패스워드를 사용하지 않고도 네트워크를 통해 공격될 수 있습니다.
Oracle E-Business Suite 11i은 Oracle9i Application Server 1.0.2.2의 코드와 Oracle Reports Developer를 포함하고 있습니다. 이 Critical Patch Update는 Oracle Application Server에 관련된 보안 픽스를 포함하고 있지 않습니다.
Oracle E-Business Suite 제품은 Oracle Database를 포함하고 있으며, 따라서 Oracle Database 섹션에서 설명된 취약점의 영향을 받습니다. Oracle E-Business Suite 제품의 보안 취약점은 사용되는 Oracle Database의 버전에 따라 달라집니다. Oracle Database 관련 취약점은 Oracle E-Business Suite Risk Matrix에 포함되어 있지 않으나, 함께 패치되어야 합니다.
Oracle Life Sciences Applications(구제품명 Oracle Pharmaceutical Applications)에 관련된 보안 픽스는 포함되어 있지 않습니다.
Oracle Life Sciences Applications는 Oracle Application Server 컴포넌트를 포함하고 있으며 따라서 이에 관련한 패치가 적용되어야 합니다. Oracle Life Sciences Applications의 보안 취약점은 사용되는 Oracle Application Server 버전에 따라 달라집니다. 자세한 정보는 Oracle Application Server 섹션을 참고하십시오.
Oracle Life Sciences Applications는 Oracle Database를 포함하고 있으며, 따라서 Oracle Database 섹션에서 설명된 취약점의 영향을 받습니다. Oracle Life Sciences Applications 제품의 보안 취약점은 사용되는 Oracle Database의 버전에 따라 달라집니다. Oracle Database 관련 취약점은 Oracle Life Sciences Applications Risk Matrix에 포함되어 있지 않으나, 함께 패치되어야 합니다.
Oracle Life Sciences Applications 고객을 위한 Oracle Application Server, Oracle Database 보안 패치에 관련한 상세한 정보는
MetaLink Note 435211.1에서 참고하실 수 있습니다.
Oracle E-Business Suite Risk Matrix
| Vuln# |
컴포넌트 |
프로토콜 |
요구되는 패키지 또는 권한 |
인증을 거치지 않은 원격 공격 가능 여부 |
CVSS VERSION 1.0 RISK (394486.1 참고) |
영향 받는 가장 오래된 버전 |
영향 받는 가장 최근의 패치 셋 (Supported Release 기준) |
| 베이스 스코어 |
접근 경로 |
접근 복잡성 |
인증 |
기밀성 |
무결성 |
가용성 |
| APPS01 |
Oracle Customer Intelligence |
HTTP |
None |
Yes |
4.7 |
Remote |
Low |
Not Required |
Partial |
Partial |
None |
12.0.0 |
12.0.1 |
| APPS02 |
Oracle Configurator |
HTTP |
Valid Session |
No |
4.2 |
Remote |
Low |
Required |
Partial |
Partial |
Partial |
11.5.8 |
11.5.10CU2, 12.0.1 |
| APPS03 |
Oracle iExpenses |
HTTP |
Valid Session |
No |
4.2 |
Remote |
Low |
Required |
Partial |
Partial |
Partial |
11.5.8 |
11.5.10CU2, 12.0.1 |
| APPS04 |
Oracle Application Object Library |
HTTP |
None |
Yes |
2.3 |
Remote |
Low |
Not Required |
Partial |
None |
None |
11.5.8 |
11.5.10CU2 |
| APPS05 |
Oracle Application Object Library |
HTTP |
None |
Yes |
2.3 |
Remote |
Low |
Not Required |
Partial |
None |
None |
11.5.8 |
11.5.10CU2 |
| APPS06 |
Oracle Application Object Library |
HTTP |
None |
Yes |
2.3 |
Remote |
Low |
Not Required |
Partial |
None |
None |
11.5.8 |
11.5.10CU2 |
| APPS07 |
Oracle Customer Intelligence |
HTTP |
Valid Session |
Yes |
2.3 |
Remote |
Low |
Not Required |
Partial |
None |
None |
11.5.8 |
11.5.10CU2 |
| APPS08 |
Oracle Payments |
HTTP |
Valid Session |
Yes |
2.3 |
Remote |
Low |
Not Required |
Partial |
None |
None |
11.5.9 |
11.5.10CU2 |
| APPS09 |
Oracle Application Object Library |
Oracle Net |
Valid Session |
No |
1.4 |
Remote |
Low |
Required |
Partial |
None |
None |
11.5.8 |
11.5.10CU2, 12.0.1 |
| APPS10 |
Oracle Human Resources |
HTTP |
Valid Session |
No |
1.4 |
Remote |
Low |
Required |
Partial |
None |
None |
11.5.8 |
11.5.10CU2 |
| APPS11 |
Oracle iRecruitment |
HTTP |
iRecruitment Administrator |
No |
1.4 |
Remote |
Low |
Required |
Partial |
None |
None |
11.5.9 |
11.5.10CU2 |
| APPS12 |
Oracle Payables |
HTTP |
Oracle Payable User |
No |
1.4 |
Remote |
Low |
Required |
Partial |
None |
None |
11.5.8 |
11.5.10CU2, 12.0.1 |
| APPS13 |
Oracle Payables |
HTTP |
Oracle Payable User |
No |
1.4 |
Remote |
Low |
Required |
Partial |
None |
None |
11.5.8 |
11.5.10CU2, 12.0.1 |
| APPS14 |
Oracle Payables |
HTTP |
Oracle Payable User |
No |
1.4 |
Remote |
Low |
Required |
Partial |
None |
None |
11.5.8 |
11.5.10CU2, 12.0.1 |
Appendix E - Oracle Enterprise Manager
Oracle Enterprise Manager 요약
이 Critical Patch Update는 Oracle Enterprise Manager에 관련한 새로운 보안 픽스를 포함하고 있지 않습니다. 가장 최근의 Oracle Enterprise Manager 보안 픽스 및 관련 정보는 April 2007 Critical Patch Update에서 확인하실 수 있습니다.
Oracle Enterprise Manager 10g Grid Control은 Oracle Database와 Oracle Application Server 컴포넌트를 포함하고 있으며 따라서 Oracle
Database , Oracle Application Server 섹션에서 설명된 취약점의 영향을 받습니다. Oracle Enterprise Manager에서 해결되어야 하는 Oracle Database, Oracle Application Server 관련 보안 취약점은 사용되는 Oracle Database, Oracle Application Server 버전에 따라 달라집니다. 보다 자세한 정보는 관련 섹션의 Risk Matrix에서 참고하실 수 있습니다. Critical Patch Update는 Oracle Enterprise Manager와 함께 설치되는 Oracle Database, Oracle Application Server에 관련한 패치를 포함하고 있으며, 이 패치들은 반드시 적용되어야 합니다.
Oracle Enterprise Manager 10g Grid Control은 Oracle Database 컴포넌트를 포함하고 있으며 따라서 Oracle
Database 섹션에서 설명된 취약점의 영향을 받습니다. Oracle Enterprise Manager에서 해결되어야 하는 Oracle Database 관련 보안 취약점은 사용되는 Oracle Database 버전에 따라 달라집니다. 보다 자세한 정보는 관련 섹션의 Risk Matrix에서 참고하실 수 있습니다. Critical Patch Update는 Oracle Enterprise Manager와 함께 설치되는 Oracle Database에 관련한 패치를 포함하고 있으며, 이 패치들은 반드시 적용되어야 합니다.
Appendix F - Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne
Oracle PeopleSoft Enterprise & JD Edwards EnterpriseOne 요약
이 Critical Patch Update는 Oracle PeopleSoft Enterprise PeopleTools에 관련된 3개의 새로운 보안 픽스와 PeopleSoft Enterprise Customer Relationship Management에 관련된 2가지 보안 픽스, 그리고 PeopleSoft Enterprise Human Capital Management에 관련된 2가지 보안 픽스를 포함하고 있습니다. Oracle PeopleSoft Enterprise PeopleTools에 관련된 취약점 중 1가지는 인증 과정을 거치지 않고 원격으로 공격 가능합니다. 다시 말해, 유저네임과 패스워드를 사용하지 않고도 네트워크를 통해 공격될 수 있습니다.
JD Edwards 제품과 관련된 새로운 보안 픽스는 포함되어 있지 않습니다.
Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne Risk Matrix
| Vuln# |
컴포넌트 |
프로토콜 |
요구되는 패키지 또는 권한 |
인증을 거치지 않은 원격 공격 가능 여부 |
CVSS VERSION 1.0 RISK (Customer Connection 참고) |
영향 받는 가장 오래된 버전 |
영향 받는 가장 최근의 패치 셋 (Supported Release 기준) |
| 베이스 스코어 |
접근 경로 |
접근 복잡성 |
인증 |
기밀성 |
무결성 |
가용성 |
| PSE01 |
PeopleTools |
Network |
Valid Session |
No |
4.8 |
Remote |
Low |
Required |
Partial+ |
Partial+ |
Complete |
8.22 GA
8.47 GA
8.48 GA
8.49 GA |
8.22.15
8.47.13
8.48.10
8.49.02 |
| PSE02 |
PeopleTools |
HTTP |
Valid Session |
No |
4.8 |
Remote |
Low |
Required |
Partial+ |
Partial+ |
Complete |
8.22 GA
8.47 GA
8.48 GA
8.49 GA |
8.22.15
8.47.13
8.48.10
8.49.02 |
| PSE03 |
PeopleTools |
HTTP |
None |
Yes |
4.7 |
Remote |
Low |
Not Required |
Partial |
Partial |
None |
8.22 GA
8.47 GA
8.48 GA
8.49 GA |
8.22.15
8.47.13
8.48.10
8.49.02 |
| PSE04 |
Customer Relationship Management Online Marketing |
HTTP |
Valid Session |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
8.9 |
8.9 Bundle 26
9.0 Bundle 7 |
| PSE05 |
Customer Relationship Management Online Marketing |
HTTP |
Valid Session |
No |
2.8 |
Remote |
Low |
Required |
Partial |
Partial |
None |
8.9 |
8.9 Bundle 26
9.0 Bundle 7 |
| PSE06 |
Human Capital Management |
Local |
Valid Session |
No |
2.0 |
Local |
Low |
Required |
Partial |
Partial |
None |
8.9 GA |
8.9 Bundle 11 |
| PSE07 |
Human Capital Management |
Local |
Valid Session |
No |
1.0 |
Local |
Low |
Required |
Partial |
None |
None |
8.9 GA |
8.9 Bundle 11 |
| 
Bookmark
