About DATABASE

cve-2012-1675개요

2012년 5월 1일, Oracle사는 자사 보안업데이트 발표 체계인 Critical Patch Update(CPU)를 통해 패치가 되지 아니한 Oracle 데이터베이스 제품 취약점에 대한 임시 조치 권고 발표[1]
CPU를 통해 패치되지 아니한 취약점에 대해 개념증명코드(PoC)가 공개되어 패치 전에 취할 수 있는 조치에 대한 보안권고
 

설명

TNS listener와 관련된 취약점으로 원격에서 사용자 인증 없이 데이터베이스에 대한 악용이 가능함
※ TNS(Transparent Network Substrate) : Oracle에서 개발한 기술로 서로 다른 Network 구성을 가지고 있는 Client/Server 또는 Server/Server 간에도 Data의 전송을 가능하게 해주는 Network 기술
 

해당 소프트웨어

Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, version 11.1.0.7
Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
 

임시 조치 방안

 Real Application Clusters(RAC) 사용자는 My Oracle Support Note 1340831.1 참고 [2]
※ RAC(Real Application Clusters) : Oracle 데이터베이스 환경에서 클러스터링과 고가용성 기능을 가능케 하는 추가 기능
Real Application Clusters(RAC) 미사용자는 My Oracle Support Note 1453883.1 참고 [3]
상기 문서를 검토하고 벤더사 및 유지보수업체와 협의/검토 후 조치 요망
 

기타 문의사항

 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 

[참고사이트]
[1] http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
[2] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1340831.1
[3] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1453883.1