개요
Oracle 제품군에서 발생하는 취약점 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-20924, CVE-2024-20909
Oracle Audit Vault and Database Firewall 20.1-20.9 버전
CVE-2023-22102
Oracle Communications Cloud Native Core Network Repository Function 23.3.1 버전
CVE-2024-20916, CVE-2023-1436, CVE-2024-20917
Oracle Enterprise Manager Base Platform 13.5.0.0 버전
CVE-2023-21901
Oracle Financial Services Analytical Applications Infrastructure 8.0.7, 8.0.8, 8.0.9, 8.1.0, 8.1.1, 8.1.2 버전
CVE-2024-20927, CVE-2024-20931
Oracle WebLogic Server 12.2.1.4.0, 14.1.1.0.0 버전
CVE-2024-20918
Oracle Java SE 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1 버전
Oracle GraalVM for JDK 17.0.9, 21.0.1 버전
Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8, 22.3.4 버전
CVE-2024-20932
Oracle Java SE 17.0.9 버전
Oracle GraalVM for JDK 17.0.9 버전
Oracle GraalVM Enterprise Edition 21.3.8, 22.3.4 버전
CVE-2024-20952
Oracle Java SE 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1 버전
Oracle GraalVM for JDK 17.0.9, 21.0.1 버전
Oracle GraalVM Enterprise Edition 20.3.12, 21.3.8, 22.3.4 버전
CVE-2024-20953
Oracle Agile PLM 9.3.6 버전
CVE-2024-20956
Oracle Agile Product Lifecycle Management for Process 6.2.4.2 미만의 버전
해결된 취약점
Oracle Java SE의 Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition 제품에서 발생하는 여러 프로토콜을 통해 네트워크에 액세스 할 수 있는 공격자가 데이터에 무단 액세스할 수 있는 취약점 (CVE-2024-20918)
Oracle Enterprise Manager의 Oracle Enterprise Manager 제품에서 발생하는 HTTP를 통해 네트워크에 액세스 할 수 있는 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-20917)
Oracle Fusion Middleware의 Oracle WebLogic Server 제품에서 발생하는 HTTP를 통해 네트워크에 액세스 할 수 있는 공격자가 액세스 가능 데이터에 대한 권한을 수정할 수 있는 취약점 (CVE-2024-20927)
Oracle MySQL의 MySQL Connectors 제품에서 발생하는 여러 프로토콜을 통해 네트워크에 액세스 할 수 있는 공격자가 MySQL Connectors를 장악할 수 있는 취약점 (CVE-2023-22102)
Oracle Java SE의 Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition 제품에서 발생하는 여러 프로토콜을 통해 네트워크에 액세스 할 수 있는 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-20932)
Oracle Enterprise Manager의 Oracle Enterprise Manager 제품에서 발생하는 권한이 높은 공격자가 Oracle Enterprise Manager Base Platform이 실행되는 하드웨어에 연결된 물리적 통신 세그먼트에 액세스하여 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-20916)
Oracle Supply Chain의 Oracle Agile Product Lifecycle Management for Process 제품에서 발생하는 HTTP를 통해 네트워크에 액세스 할 수 있는 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-20956)
Oracle Java SE의 Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition 제품에서 발생하는 여러 프로토콜을 통해 네트워크에 액세스할 수 있는 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-20952)
Oracle Audit Vault 및 Database Firewall 제품에서 발생하는 Oracle Net을 통해 네트워크에 액세스 할 수 있는 공격자가 제품을 장악할 수 있는 취약점 (CVE-2024-20924, CVE-2024-20909)
Oracle Financial Services Applications의 Oracle Financial Services Analytical Applications Infrastructure 제품에서 발생하는 HTTP를 통해 네트워크에 액세스 할 수 있는 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2023-21901)
Oracle Fusion Middleware의 Oracle WebLogic Server 제품에서 발생하는 T3, IIOP를 통해 네트워크에 액세스 할 수 있는 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-20931)
Oracle Supply Chain의 Oracle Agile PLM 제품에서 발생하는 HTTP를 통해 네트워크에 액세스 할 수 있는 공격자가 제품을 장악할 수 있는 취약점 (CVE-2024-20953)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 취약점 패치에 대한 자세한 사항은 참고 사이트 문서를 참고하시기 바랍니다.
참고 사이트
[1] Oracle Critical Patch Update Advisory – January 2024
https://www.oracle.com/security-alerts/cpujan2024.html