보안 권고문

Oracle 제품군 2024년 4월 2차 보안 업데이트 권고

등록일: 2024년 4월 18일

개요

Oracle 제품군에서 발생하는 취약점 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트하시기 바랍니다.

대상 제품

CVE-2024-21076, CVE-2024-21077, CVE-2024-21074, CVE-2024-21075, CVE-2024-21073

Oracle Trade Management 12.2.3-12.2.13 버전

CVE-2024-21110, CVE-2024-21116, CVE-2024-21112, CVE-2024-21103, CVE-2024-21114, CVE-2024-21111, CVE-2024-21115, CVE-2024-21113

Oracle VM VirtualBox 7.0.16 이전의 버전

CVE-2024-21088

Oracle Production Scheduling 12.2.4-12.2.12 버전

CVE-2024-21067

Oracle Enterprise Manager Base Platform 13.5.0.0 버전

CVE-2024-20952, CVE-2024-20918

Oracle Java SE 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1 버전
Oracle GraalVM for JDK 17.0.9, 21.0.1 버전
Oracle GraalVM Enterprise Edition 20.3.12, 21.3.8, 22.3.4 버전

CVE-2024-21010, CVE-2024-21014

Oracle Hospitality Simphony 19.1.0-19.5.4 버전

CVE-2024-20932

Oracle Java SE 17.0.9 버전
Oracle GraalVM for JDK 17.0.9 버전
Oracle GraalVM Enterprise Edition: 21.3.8, 22.3.4 버전

CVE-2024-21059, CVE-2024-20999

Oracle Solaris 11 버전

CVE-2024-21090

MySQL Connectors 8.3.0 이하의 버전

CVE-2024-21071

Oracle Workflow 12.2.3-12.2.13 버전

CVE-2024-21006, CVE-2024-21007

Oracle WebLogic Server 12.2.1.4.0, 14.1.1.0.0 버전

CVE-2024-21078, CVE-2024-21079

Oracle Marketing 12.2.3-12.2.13 버전

CVE-2024-21082, CVE-2024-21083

Oracle BI Publisher 7.0.0.0.0, 12.2.1.4.0 버전

CVE-2024-21092

Oracle Agile Product Lifecycle Management for Process 6.2.4.2 버전

CVE-2024-20989, CVE-2024-20997

Oracle Hospitality Simphony 19.1.0-19.5.4 버전

CVE-2024-21095

Primavera P6 Enterprise Project Portfolio Management 19.12.0-19.12.22, 20.12.0-20.12.21, 21.12.0-21.12.18, 22.12.0-22.12.12, 23.12.0-23.12.2 버전

해결된 취약점

Oracle E-Business Suite의 Oracle Trade Management 제품에서 발생하는 HTTP를 통해 접근 가능한 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-21076, CVE-2024-21077, CVE-2024-21074, CVE-2024-21075, CVE-2024-21073)

Oracle Virtualization의 Oracle VM VirtualBox 제품에서 발생하는 낮은 권한의 공격자가 시스템에 로그인하여 공격을 수행할 수 있는 권한 상승 취약점 (CVE-2024-21110, CVE-2024-21116, CVE-2024-21112, CVE-2024-21103, CVE-2024-21114, CVE-2024-21111, CVE-2024-21115, CVE-2024-21113, CVE-2024-21112, CVE-2024-21113)

Oracle E-Business Suite의 Oracle Production Scheduling 제품에서 발생하는 HTTP를 통해 접근 가능한 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-21088)

Oracle Enterprise Manager의 Oracle Enterprise Manager 제품에서 발생하는 낮은 권한의 공격자가 시스템에 로그인하여 공격을 수행할 수 있는 권한 상승 취약점 (CVE-2024-21067)

Oracle Java SE의 Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition 제품에서 발생하는 여러 프로토콜을 통해 접근 가능한 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-20952, CVE-2024-20932, CVE-2024-20918)

Oracle Food and Beverage Applications의 Oracle Hospitality Simphony 제품에서 발생하는 HTTP를 통해 접근 가능한 공격자가 공격을 수행할 수 있는 권한 상승 취약점 (CVE-2024-21010, CVE-2024-21014, CVE-2024-20997)

Oracle Systems Oracle Solaris 제품에서 발생하는 낮은 권한의 공격자가 시스템에 로그인하여 공격을 수행할 수 있는 권한 상승 취약점 (CVE-2024-21059, CVE-2024-20999)

Oracle MySQL의 MySQL 커넥터 제품에서 발생하는 네트워크를 통해 접근 가능한 공격자가 공격을 수행할 수 있는 권한상승 취약점 CVE-2024-21090)

Oracle E-Business Suite의 Oracle Workflow 제품에서 발생하는 HTTP를 통해 접근 가능한 공격자가 공격을 수행할 수 있는 권한 상승 취약점 (CVE-2024-21071)

Oracle Fusion Middleware의 Oracle WebLogic Server 제품에서 발생하는 T3, IIOP를 통해 접근 가능한 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-21006, CVE-2024-21007)

Oracle E-Business Suite의 Oracle Marketing 제품에서 발생하는 HTTP를 통해 접근 가능한 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-21078, CVE-2024-21079)

Oracle Analytics의 Oracle BI Publisher 제품에서 발생하는 HTTP를 통해 접근 가능한 공격자가 공격할 수 있는 권한 상승 취약점 (CVE-2024-21082, CVE-2024-21083)

racle Supply Chain의 Oracle Agile Product Lifecycle Management for Process 제품에서 발생하는 HTTP를 통해 접근 가능한 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-21092)

Oracle Food and Beverage Applications의 Oracle Hospitality Simphony 제품에서 발생하는 HTTP를 통해 접근 가능한 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-20989)

Oracle Construction and Engineering의 Primavera P6 Enterprise Project Portfolio Management 제품에서 발생하는 HTTP를 통해 접근 가능한 공격자가 데이터에 무단 액세스 할 수 있는 취약점 (CVE-2024-21095)