CPU(Critical Patch Update) 프로그램

오라클 제품 내 보안 취약점에 대한 백포트(backport)를 위한 기본 방법은 분기별 CPU(Critical Patch Update) 프로그램입니다. CPU(Critical Patch Updates)는 Critical Patch Updates and Security Alerts 페이지에서 1년 전에 발표한 날짜에 발표 및 게시됩니다. 패치는 중요한 보안 취약점을 해결하며 보안 픽스에 필수 불가결한 코드 픽스를 포함하고 있습니다.

Oracle Support 계약이 유효한 고객들은 My Oracle Support 웹 사이트에서 CPU를 수령하는 모든 제품에 대한 보안 업데이트를 제공 받을 수 있습니다. 오라클의 보안 픽스 정책에 대한 자세한 내용은 아래 링크에서 확인하십시오.’

보안 경고(Security Alerts) 프로그램

보안 경고는 하나의 취약점 픽스 또는 소수의 취약점 픽스를 발표하는 방식입니다. 보안 경고는 보안 픽스를 위한 주요 발표 방법으로서 2004월 8월까지 사용될 수 있습니다. 2005년 1월, 오라클은 CPU(Critical Patch Updates)를 이용해 지정된 일자에 픽스를 발표하기 시작했습니다.

오라클은 자사 고객들에게 특이하거나 위험한 위협인 경우, 보안 경고를 발표할 것입니다. 이 경우, 고객들은 이메일 통지에 의한 보안 경고를 My Oracle SupportOracle Technology Network를 통해 받게 될 것입니다. 보안 경고에 포함된 픽스는 다음 CPU(Critical Patch Update)에 포함될 것입니다.

누적(Cumulative) vs. 임시(One-Off) 패치

오라클은 CPU를 가능한 많이 누적시키기 위해 노력하고 있습니다. 각 CPU는 앞서 발표된 모든 CPU의 보안 패치를 포함하고 있습니다. 실제로 누적 픽스를 수령한 이들 제품의 경우, 이들 제품을 단독으로 사용한다면 모든 필요한 픽스들이 포함되어 있는 최신 CPU 하나만 적용하면됩니다.

누적 픽스를 수령하지 않는 다른 제품들에 대한 픽스는 임시 패치로서 발표됩니다. 이들 제품은 이전 CPU 권고를 참조해 적용해야 하는 모든 패치를 찾아야 합니다.

보안 픽스 발표

오라클의 정책은 영향을 받는 모든 지원 대상 제품 버전 및 플랫폼 조합에 대해 픽스를 제공할 수 있을 때에만 가능한 많은 보안 픽스를 발표한다는 것입니다.’ 하지만 이 정책과 관련해 2개의 예외가 있습니다.

1. 'On-Request 프로그램: 오라클은 과거 고객들의 패치 다운로드가 적은 특정 제품 버전 및 플랫폼에 대한 패치를 체계적으로 제작하지 않습니다. 이들 패치를 제작하기 위해서는 고객의 요청이 있어야 합니다. 'on-request 프로그램'과 최신 또는 향후 CPU를 위해 그와 같은 패치를 요청하는 프로세스는 각 CPU 릴리스에서 함께 제공하는 Patch Availability Document에 자세히 설명되어 있습니다.

2. 발표 일자로부터 최대 2주 동안 패치 발표가 다소 지연되는 것은 일반적으로 패치 프로덕션 또는 테스트 중의 기술적 이슈로 인한 것입니다.

특정한 상황에서는 특정 버전의 플랫폼 제품 조합을 위한 CPU가 발표 또는 미발표 취약점 픽스를 포함할 수 있다는 점을 유념해 주십시오. 미발표 취약점 픽스는 전부가 아닌 일부 취약점이 수정되었거나, 픽스가 해당 제품의 전부가 아닌 일부 버전 플랫폼 조합에 적용되는 경우 해당 CPU 패치에 포함될 수 있습니다.

보안 픽스 및 패치 세트

보안 픽스는 패치 세트(또는 동종 형태)와 신제품 릴리스에 포함됩니다. 오라클의 정책은 모든 보안 픽스를 후속 패치 세트 및 제품 릴리스의 CPU에 포함시킨다는 것입니다. 릴리스의 시점으로 인해 가능하지 않은 경우, 오라클은 새롭게 발표된 패치 세트 또는 제품 릴리스에 적용할 수 있는 최신 CPU 필스를 포함한 패치를 만듭니다.

보안 취약점 해결 순서

모든 오라클 고객들에게 최고의 보안 상태를 제공하기 위해 오라클은 고객들에 대한 위험도를 기준으로 심각한 보안 취약점을 해결하고 있습니다. 이에 따라 가장 심각한 위험을 가진 이슈가 우선적으로 해결됩니다. 보안 취약점에 대한 픽스는 다음과 같은 수서로 작성됩니다.

  • 메인 코드 라인 최우선—해당 제품의 차기 주요 릴리스를 위해 개발되는 코드 라인
  • 취약한 각 지원 버전:
    • 해당 지원 버전를 위해 다른 패치 세트가 예정된 경우, 차기 패치 세트에서 수정
    • CPU 패치의 개발

오라클은 고객들이 오직 지원 제품 버전만을 이용하고 CPU가 발표되는 지체 없이 이를 적용하도록 강력하게 권고하고 있다는 점을 유념하십시오. 이는 오라클이 지원 제품 버전 이외에는 픽스를 제공하지 않기 때문입니다. 하지만, CPU 패치에 의해 수정된 취약점이 공격에 취약할 가능성이 높고 공격자들은 종종 CPU 픽스를 리버스 엔지니어링하여 이를 무기화하고 각 CPU 릴리스가 발표된 직후 이들 이슈를 악용하려고 시도합니다.

중요 사항: CPU가 패치 세트 또는 신제품 릴리스보다 자주 릴리스되기 때문에 CPU가 고객들에게 모든 영향 받는 제품을 위한 보안 픽스를 최신 상태로 유지하는 우선적인 방법이어야 한다고 오라클이 권고하고 있다는 점을 유념해 주십시오.

CPU(Critical Patch Update) 문서

각 CPU에는 최상위 문서로서 권고를 포함하고 있습니다. 이 권고는 영향을 받는 제품의 목록과 각 제품군에 대한 위험 매트릭스를 포함하고 있습니다.

위험 매트릭스(Risk Matrices)

위험 매트릭스는 고객들이 자체 환경에서 보안 취약점에 노출된 위험을 평가할 수 있도록 돕는 정보를 제공합니다. 이는 가장 위험한 시스템을 식별하는 데에도 사용될 수 있으며 따라서 가장 우선적으로 패치를 적용할 수 있습니다. CPU에서 수정된 새로운 각 보안 취약점은 영향을 미치는 제품의 위험 패트릭스 행에 나열됩니다.

CVSS(Common Vulnerability Scoring System)

2006년 10월 오라클은 위험 매트릭스에서 보안 취약점의 상대적인 심각도를 표시하는 방식을 CVSS(Common Vulnerability Scoring System) 방식으로 변경했습니다. FIRST의 웹 사이트는 CVSS를 ’ “소프트웨어 취약점에 대한 개방적이고 일반적인 표준 심각도 등급을 제시하기 위한 등급 평가 시스템이라고 설명하고 있습니다.“ CVSS는 보안 취약점의 심각도를 평가하는 표준화된 방법입니다. 오라클은 CPU(Critical Patch Update)에서 새롭게 수정된 각 취약점에 대해 취약점을 악용하는 데 필요한 전제 조건과 악용의 난이도를 표시하는 CVSS 메트릭스 값, 그리고 CIA(confidentiality, integrity, availability)를 기준으로 성공한 공격이 대상 시스템에 미친 영향을 제시합니다. CVSS는 공식을 이용해 이러한 정보를 0.0에서 10.0까지(10점이 가장 심각한 취약점) 기준 점수로 환산합니다. 이 위험 매트릭스는 CVSS 기준 점수를 이용해 순서대로 나열되며 가장 심각한 취약점이 맨위에 표시됩니다. CVSS 표준 버전 3.0은 2016년 4월 오라클에 의해 채택되어 현재 사용되고 있습니다. 오라클의 CVSS(Common Vulnerability Scoring System) 사용은 CVSS가 어떻게 오라클의 위험 경고에 적용되는지에 대한 상세한 설명을 제공합니다.’

CVE(Common Vulnerabilities and Exposures)

CVE(Common Vulnerabilities and Exposures) 번호는 오라클이 CPU 및 보안 경고 권장에서 위험 매트릭스에 나열된 취약점을 식별하는 데 사용됩니다. CVE 번호는 보안 취약점에 대해 공개적으로 알려진 정보를 구분하는 고유한 공통 식별자입니다. CVE 프로그램은 미국토안보국 산하 사이버보안 및 통신부의 공동 후원하고 MITRE corporation이 관리합니다 오라클은 자체 제품의 취약점에 대해 CVE 번호를 부여할 권한을 부여 받은 CNA(CVE Numbering Authority)입니다. 오라클의 보안 권고에서 CVE 번호의 순서는 반드시 참조하는 취약점 발견 날짜와 일치하는 것은 아닙니다. 다시 말해서 CVE 번호는 취약점 발견 날짜의 순서대로 지정되지 않으며 이에 대한 픽스는 해당 배포판에서 제공될 것입니다. 이는 오라클과 같은 CNS는 정기적으로 MIRE에서 CVE 번호 세트를 받기 때문에 취약점이 발견될 때마다 새로운 CVE를 별도로 요청할 필요가 없기 때문입니다. CVE 조직이 CPU(Critical Patch Update program) 프로그램을 통한 정기적인 픽스 배포일로부터 3~4주 전에 할당한 CVE 번호 풀에서 오라클이 순서대로 취약점에 CVE 번호를 지정합니다.

전체 요약(Executive Summary)

기업들이 CPU(Critical Patch Update)에서 수정한 잠재적인 보안 이슈의 중요성을 신속하게 평가하도록 돕기 위해 오라클은 해당 CPU로 해결한 각 제품의 보안 이슈에 대한 개략적인 시놉시스와 함께 전체 요약을 제공합니다. 이 전체 요약은 CPU에서 처리한 취약점에 대한 영문 설명을 제공합니다.

CPU 프리 릴리스 발표(Critical Patch Update Pre-Release Announcement)

오라클은 각 CPU(Critical Patch Updates) 발표일 이전 목요일에 CPU(Critical Patch) 요약서를 발행합니다. 이 요약은 CPU 프리 릴리스 발표라고 불리며 다음을 포함해 곧 발표될 CPU에 대한 정보를 사전에 제공합니다.

  • CPU에서 수정된 새로운 취약점의 영향을 받는 오라클 제품의 명칭 및 버전 번호
  • 각 제품군을 위한 보안 픽스의 번호
  • 각 제품군을 위한 최고 CVSS 기준 점수
  • 또한, 기업이 자체 환경에서 CPU를 적용하기 위한 계획을 수립할 수 있도록 돕는 기타 관련 정보

오라클은 각 프리 릴리스 발표가 배포 시점에 가능한 정확을 기하기 위해 노력하고 있지만 각 CPU의 실제 내용은 프리 릴리스 발표 발행 이후 변경될 수 있습니다. 따라서 CPU 권고는 CPU의 실제 내용에 대한 유일하고 정확한 설명으로 고려되어야 합니다.