Oracle 제품군 2024년 10월 보안 업데이트 권고

개요

 

Oracle 제품군에서 발생하는 취약점 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트하시기 바랍니다.

 

대상 제품

CVE-2024-21259

• Oracle VM VirtualBox 버전: – 7.0.22
• Oracle VM VirtualBox 버전: – 7.1.2

 

CVE-2024-21275

• Oracle Quoting 버전: 12.2.7 – 12.2.13

 

CVE-2024-21246

• Oracle Service Bus 버전: 12.2.1.4.0

 

CVE-2024-21274, CVE-2024-21215, CVE-2024-21216, CVE-2024-21234, CVE-2024-21260

• Oracle WebLogic Server 버전: 12.2.1.4.0
• Oracle WebLogic Server 버전: 14.1.1.0.0

 

CVE-2024-21266

• Oracle Advanced Pricing 버전: 12.2.3 – 12.2.13

 

CVE-2024-21195, CVE-2024-21254

• Oracle BI Publisher 버전: 7.0.0.0.0
• Oracle BI Publisher 버전: 7.6.0.0.0
• Oracle BI Publisher 버전: 12.2.1.4.0

 

CVE-2024-21265

• Oracle Site Hub 버전: 12.2.3 – 12.2.13

 

CVE-2024-21267

• Oracle Cost Management 버전: 12.2.12 – 12.2.13

 

CVE-2024-21271

• Oracle Field Service 버전: 12.2.3 – 12.2.13

 

CVE-2024-21272

• MySQL Connectors 버전: – 9.0.0

 

CVE-2024-21280

• Oracle Service Contracts 버전: 12.2.5 – 12.2.13

 

CVE-2024-21190

• Oracle Global Lifecycle Management FMW Installer 버전: 12.2.1.4.0

 

CVE-2024-21250

• Oracle Process Manufacturing Product Development 버전: 12.2.13 – 12.2.14

 

CVE-2024-21214, CVE-2024-21255

• PeopleSoft Enterprise PeopleTools 버전: 8.5.9
• PeopleSoft Enterprise PeopleTools 버전: 8.6.0
• PeopleSoft Enterprise PeopleTools 버전: 8.6.1

 

CVE-2024-21284

• Oracle Banking Liquidity Management 버전: 14.5.0.12.0

 

CVE-2024-21268

• Oracle Applications Manager 버전: 12.2.11 – 12.2.13

 

CVE-2024-21191

• Oracle Enterprise Manager Fusion Middleware Control 버전: 12.2.1.4.0

 

CVE-2024-21252

• Oracle Product Hub 버전: 12.2.3 – 12.2.13

 

CVE-2024-21278

• Oracle Contract Lifecycle Management for Public Sector 버전: 12.2.3 – 12.2.13

 

CVE-2024-21282

• Oracle Financials 버전: 12.2.3 – 12.2.13

 

CVE-2024-21285

• Oracle Banking Liquidity Management 버전: 14.5.0.12.0

 

CVE-2024-21276

• Oracle Work in Process 버전: 12.2.3 – 12.2.13

 

CVE-2024-21277

• Oracle MES for Process Manufacturing 버전: 12.2.3 – 12.2.13

 

CVE-2024-21283

• PeopleSoft Enterprise HCM Global Payroll Core 버전: 9.2.48 – 9.2.50

 

CVE-2024-21279

• Oracle Sourcing 버전: 12.2.3 – 12.2.13

 

CVE-2024-21172

• Oracle Hospitality OPERA 5 버전: 5.6.19.19
• Oracle Hospitality OPERA 5 버전: 5.6.25.8
• Oracle Hospitality OPERA 5 버전: 5.6.26.4

 

CVE-2024-21269

• Oracle Incentive Compensation 버전: 12.2.3 – 12.2.13

 

CVE-2024-21270

• Oracle Common Applications Calendar 버전: 12.2.6 – 12.2.13

 

 

해결된 취약점

Oracle VM VirtualBox가 실행되는 인프라에 로그온한 권한이 높은 공격자가 Oracle VM VirtualBox를 손상시킬 수 있는 취약점(CVE-2024-21259)

HTTP를 통해 네트워크 액세스가 가능한 권한이 낮은 공격자가 Oracle Quoting을 손상시킬 수 있는 취약점(CVE-2024-21275)

HTTP를 통해 네트워크에 액세스할 수 있는 인증되지 않은 공격자가 Oracle Service Bus를 손상시킬 수 있는 취약점(CVE-2024-21246)

HTTP를 통해 네트워크에 액세스할 수 있는 인증되지 않은 공격자가 Oracle WebLogic Server를 손상시킬 수 있는 취약점(CVE-2024-21274, CVE-2024-21215)

T3, IIOP를 통해 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 Oracle WebLogic Server를 손상시킬 수 있는 취약점(CVE-2024-21216, CVE-2024-21234, CVE-2024-21260)

HTTP를 통해 네트워크 액세스가 가능한 권한이 낮은 공격자가 Oracle Advanced Pricing을 손상시킬 수 있는 취약점(CVE-2024-21266)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle BI Publisher를 손상시킬 수 있는 취약점(CVE-2024-21195, CVE-2024-21254)

HTTP를 통해 네트워크 액세스가 가능한 권한이 낮은 공격자가 Oracle Site Hub를 손상시킬 수 있는 취약점(CVE-2024-21265)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Cost Management를 손상시킬 수 있는 취약점(CVE-2024-21267)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Field Service를 손상시킬 수 있는 취약점(CVE-2024-21271)

여러 프로토콜을 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 MySQL Connectors를 손상시킬 수 있는 취약점(CVE-2024-21272)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Service Contracts를 손상시킬 수 있는 취약점(CVE-2024-21280)

SFTP를 통해 네트워크에 액세스할 수 있는 인증되지 않은 공격자가 Oracle Global Lifecycle Management FMW Installer를 손상시킬 수 있는 취약점(CVE-2024-21190)

HTTP를 통한 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Process Manufacturing Product Development를 손상시킬 수 있는 취약점(CVE-2024-21250)

HTTP를 통한 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 PeopleSoft Enterprise PeopleTools를 손상시킬 수 있는 취약점(CVE-2024-21214, CVE-2024-21255)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Banking Liquidity Management를 손상시킬 수 있는 취약점(CVE-2024-21284)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Applications Manager를 손상시킬 수 있는 취약점(CVE-2024-21268)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Enterprise Manager Fusion Middleware Control을 손상시킬 수 있는 취약점(CVE-2024-21191)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Product Hub를 손상시킬 수 있는 취약점(CVE-2024-21252)

HTTP를 통해 네트워크 액세스 권한이 낮은 공격자가 Oracle Contract Lifecycle Management for Public Sector를 손상시킬 수 있는 취약점(CVE-2024-21278)

HTTP를 통해 네트워크 액세스가 가능한 권한이 낮은 공격자가 Oracle Financials를 손상시킬 수 있는 취약점(CVE-2024-21282)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Banking Liquidity Management를 손상시킬 수 있는 취약점(CVE-2024-21285)

HTTP를 통해 네트워크 액세스가 가능한 권한이 낮은 공격자가 Oracle Work in Process를 손상시킬 수 있는 취약점(CVE-2024-21276)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle MES for Process Manufacturing을 손상시킬 수 있는 취약점(CVE-2024-21277)

HTTP를 통한 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 PeopleSoft Enterprise HCM Global Payroll Core를 손상시킬 수 있는 취약점(CVE-2024-21283)

HTTP를 통해 네트워크 액세스가 가능한 권한이 낮은 공격자가 Oracle Sourcing을 손상시킬 수 있는 취약점(CVE-2024-21279)

HTTP를 통해 네트워크에 액세스할 수 있는 인증되지 않은 공격자가 Oracle Hospitality OPERA 5를 손상시킬 수 있는 취약점(CVE-2024-21172)

HTTP를 통해 네트워크 액세스 권한이 있는 낮은 권한의 공격자가 Oracle Incentive Compensation을 손상시킬 수 있는 취약점(CVE-2024-21269)

HTTP를 통해 네트워크 액세스가 가능한 권한이 낮은 공격자가 Oracle Common Applications Calendar를 손상시킬 수 있는 취약점(CVE-2024-21270)

 

 

취약점 패치

 

최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트[1] 의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.

참고 사이트

 

[1] Oracle Critical Patch Update Advisory – October 2024

https://www.oracle.com/security-alerts/cpuoct2024.html