보안 권고문

Oracle 제품군 2024년 7월 보안 업데이트 권고

개요

Oracle 제품군에서 발생하는 취약점 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트하시기 바랍니다.

대상 제품

 

CVE-2024-21184

  • Oracle Database RDBMS Security 버전: 19.3 – 19.23

 

CVE-2024-21146

  • Oracle Trade Management 버전: 12.2.3 – 12.2.13

 

CVE-2024-21147

  • Oracle Java SE 버전: 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3, 22.0.1
  • Oracle GraalVM for JDK 버전: 17.0.11, 21.0.3, 22.0.1
  • Oracle GraalVM Enterprise Edition 버전: 20.3.14, 21.3.10

 

CVE-2024-21153

  • Oracle Process Manufacturing Product Development 버전:   12.2.13

 

CVE-2024-21149

  • Oracle Enterprise Asset Management 버전: 12.2.11 – 12.2.13

 

CVE-2024-21183, CVE-2024-21181, CVE-2024-21182, CVE-2024-21175

  • Oracle WebLogic Server 버전: 12.2.1.4.0, 14.1.1.0.0

 

CVE-2024-21152

  • Oracle Process Manufacturing Financials 버전: 12.2.12-12.2.13

 

CVE-2024-21141

  • Oracle VM VirtualBox 버전:  ~ 7.0.20

 

CVE-2024-21167

  • Oracle Trading Community 버전: 12.2.3 – 12.2.13

 

CVE-2024-21136

  • Oracle Retail Xstore Office 버전: 19.0.5, 20.0.3, 20.0.4, 22.0.0, 23.0.1

 

 

해결된 취약점

 

권한이 높은 공격자가 Oracle Net을 통한 네트워크 액세스로 SYS.XS_DIAG에서 실행 권한을 가지고 Oracle Database RDBMS 보안을 손상시킬 수 있는 취약점(CVE-2024-21184)
HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Trade Management를 손상시킬 수 있는 취약점(CVE-2024-21146)
여러 프로토콜을 통해 네트워크 액세스가 가능한 인증되지 않은 공격자가 Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition을 손상시킬 수 있는 취약점(CVE-2024-21147)
HTTP를 통한 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Process Manufacturing Product Development를 손상시킬 수 있는 취약점(CVE-2024-21153)
HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Enterprise Asset Management를 손상시킬 수 있는 취약점(CVE-2024-21149)
T3, IIOP를 통해 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 Oracle WebLogic Server를 손상시킬 수 있는 취약점(CVE-2024-21183, CVE-2024-21181, CVE-2024-21182)
HTTP를 통해 네트워크 액세스가 가능한 인증되지 않은 공격자가 Oracle WebLogic Server를 손상시킬 수 있는 취약점(CVE-2024-21175)
HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Process Manufacturing Financials를 손상시킬 수 있는 취약점(CVE-2024-21152)
권한이 높은 공격자가 Oracle VM VirtualBox가 실행되는 인프라에 로그온하여 Oracle VM VirtualBox를 손상시킬 수 있는 취약점(CVE-2024-21141)
HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Trading Community를 손상시킬 수 있는 취약점(CVE-2024-21167)
HTTP를 통한 네트워크 액세스가 있는 인증되지 않은 공격자가 Oracle Retail Xstore Office를 손상시킬 수 있는 취약점(CVE-2024-21136)

 

 

취약점 패치

최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트[1] 의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.

 

 

참고 사이트

[1] Oracle Critical Patch Update Advisory – July 2024

https://www.oracle.com/security-alerts/cpujul2024.html

© AhnLab, Inc. All rights reserved.

(우) 13493 경기도 성남시 분당구 판교역로 220

대표이사 : 강석균

사업자등록번호 : 214-81-83536

개인정보처리방침

|

이용약관

|

ASEC