RadarURL
Skip to content
조회 수 1075 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
오라클이 자사 제품 '수백개'에 관련된 취약점 패치 128개를 공개한다. 자바 관련 보안업데이트도 포함한다. 지난달초 자바 취약점 공격에 대한 방어 기능을 더한 긴급패치 이후 약 40일만이다.

 

미국 지디넷은 16일(현지시각) 오라클이 연초 해킹에 관련해 고압적인 대응태도를 보였던 자바를 포함해 수백개 제품에 영향을 줄 보안패치 128개를 내놓기로 예고했다고 보도했다.

 

오라클이 예고한 보안패치에는 회사 간판제품인 데이터베이스(DB) 관련 4건도 포함돼 있다. 관리자 계정과 비밀번호 없이도 원격 접속이 가능한 취약점을 메우는 내용이다.

 

29건은 오라클퓨전미들웨어(OFM) 제품에 대한 것이다. 이가운데 22건은 역시 사용자 인증 없이 시스템을 공격할 수 있게 만드는 헛점을 막기 위해 나왔다.

 

mOJ1mHNGZQTrfYzb1dcA.jpg EXIF Viewer사진 크기200x168
이에 영향을 받는 구성요소로 오라클 HTTP서버, 제이로킷, 웹센터, 웹로직이 언급됐다.

 

오라클은 이들 제품에 대한 보안위협 경고수준을 최상위로 설정했다. 일반취약점평가시스템(CVSS)에 따르면 10점이다.

 

이밖에 전사적자원관리(ERP) 제품인 'E비즈니스스위트'를 위한 수정프로그램이 6건, 공급망 관련 제품스위트'를 위한 것이 3건, 피플소프트 제품을 위한 것이 11건이다.

 

또 썬에서 만든 여러 제품과 오라클 재무관리 소프트웨어(SW)를 위한 수십개 패치가 예고됐다. 오라클은 이 모든 패치를 일반업데이트채널을 통해 배포할 방침이다.

 

'치명적(critical)' 등급을 매긴 업데이트는 지난 1월 공개된 86개 패치보다 수십개 많다. 이는 오라클 제품에 미치는 파급이 크니 가능한 빨리 적용해야 한다는 뜻으로 설정되는 등급이다. 놔둘 경우 외부 공격 위협에 고스란히 노출돼 있는 상태기 때문이다.

 

눈에 띄는 건 자바 보안 업데이트다. 이번 패치 가운데 42건이 연초 논란이 된 자바 웹플러그인 기술에 대한 것이다.

 

이가운데 소프트웨어가 사용자 계정과 비밀번호를 입력받지 않고도 네트워크를 통해 원격으로 공격당할 수 있는 위험을 막는 패치는 3건뿐이다.

 

자바5와 이전 버전을 위한 41번 업데이트, 자바6 버전을 위한 43번 업데이트, 자바7 버전을 위한 17번 업데이트가 여기 해당된다. 자바FX2.2.7과 이전 버전도 그에 영향을 받는다.

 

오라클 CVSS 평가체계에 따르면 일부 10점만점을 받은 것도 있지만 일부 약점의 등급은 그 성격이 치명적이진 않고 '중요(important)'한 수준이다.

 

불과 몇달 전 자바 소프트웨어는 주요 기술업체들로부터 집중포화에 시달렸다. 기업을 겨냥한 일련의 해킹시도에 근본적인 위협으로 작용할 수 있다는 이유에서다.

 

앞서 페이스북, 애플, 트위터같은 인터넷업체와 NBC같은 언론사를 포함해 여러 기업이 자바와 관련돼 미처 조치되지 않은(제로데이) 보안취약점에 노출돼 있었다. 이는 지난 2월 공격자들이 각사 내부망에 시도한 침입을 유도했다.

 

당시 페이스북은 자바플러그인의 제로데이 보안취약점에 노출된 결과 내부망에 침입당한 일이 있다고 밝혔다. 애플도 지난 2월 중순 같은 일을 겪었다. 관계당국은 2개 사례를 외부에 알렸다.

 

초기 보고 이후 다른 기업 사례들이 알려지면서 공격배후에중국 해커들이 있다는 보도를 미국 매체 뉴욕타임스와 주요 신문사에서 전한 바 있다.

 

공격을 받은 회사들은 자사 또는 서비스 사용자들의 신상정보가 유출당한 증거는 포착되지 않았다고 개별적으로 밝혔다.

 

이번에 자바플러그인 취약점 공격기법으로 알려진 '워터링홀' 기법은 iOS 개발관련 사이트를 공격해 자바플러그인을 구동하는 애플 맥북 기기를 감염시키는 방식이었다. 해당 사이트는 웹사이트 코드 안에 유해소프트웨어를 숨긴 채 운영되다가 자바웹플러그인의 취약점을 포착함으로써 직원들의 노트북에 접근하는 권한을 빼앗는다.

 

 

출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130417093449

?

List of Articles
번호 제목 글쓴이 날짜 조회 수
21 4년 내 기업 절반이 PC 지급 안 한다 file JAESOO 2013.05.02 5294
20 표준화동향: SDN(Software Defined Network) 기술 및 시장 동향 JaeSoo 2013.05.01 21966
19 2011년 클라우드 기술 트렌드 11가지 JaeSoo 2011.11.29 6411
18 2008년 주목할만한 10대 IT신기술은 어떤 것? JaeSoo 2008.02.22 7676
17 주목할만한 웹 2.0 아이디어 40개 JaeSoo 2008.02.21 7558
16 2008년도 IT 트렌드로 알아보는 유비쿼터스사회 JaeSoo 2008.02.18 8026
15 2008 대한민국 10대 트랜드 - 삼성경제연구소 JaeSoo 2008.01.10 6635
14 2012년 분야별 최고의 오픈소스 소프트웨어 124선 JAESOO 2013.04.24 4920
13 [제9회 ACC]MSTR “빅데이터분석 해법 고성능BI“ file JAESOO 2013.04.17 4561
12 [제9회 ACC]HP “오픈소스 하둡, 시작을 쉽게” file JAESOO 2013.04.17 4515
11 오라클, “BI로 빅데이터 분석 못해“ file JAESOO 2013.04.17 5390
10 [제9회 ACC]퀀텀, “신개념 스토리지 필요한 때“ file JAESOO 2013.04.17 3944
9 한국MS, 윈도애저IaaS 시작 file JAESOO 2013.04.17 3759
8 큐빗, 싱가포르 RFID 지능형미디어시스템 구축 file JAESOO 2013.04.17 4780
7 [제9회 ACC]KT클라우드웨어 “목표지향적 빅데이터 실행” file JAESOO 2013.04.17 5439
6 [제9회 ACC]AWS “빅데이터 실타래, 클라우드로 푼다“ file JAESOO 2013.04.17 1134
5 인텔, PC 약세에 1Q 순익 25% 급락 file JAESOO 2013.04.17 776
» 오라클, 자바 포함 128개 보안업데이트 공개 file JAESOO 2013.04.17 1075
3 캐노니컬-VM웨어, 오픈스택 공동사업 file JAESOO 2013.04.17 870
2 델, 아이칸과 지분보유제한 합의 file JAESOO 2013.04.17 1591
Board Pagination Prev 1 2 Next
/ 2

PageViews   Today : 398   Yesterday : 1,072   Total : 20,380,883  /  Counter Status   Today : 120   Yesterday : 247   Total : 1,573,202
Site Info   Member : 248  /  Total documents : 1,245   New documents : 0  /  Total comments : 26

Edited by JAESOO

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소