오라클, 치명적인 패치 업데이트 문제 : 169 건의 새로운 보안 수정

Oracle의 분기 별 중요 패치 업데이트에는 Java, Fusion Middleware, Enterprise Manager 및 MySQL을 포함한 제품에 영향을 미치는 169 개의 ​​문제에 대한 보안 업데이트 및 패치가 포함되어 있습니다.

캘리포니아에 본사를두고있는 2015 년 1 월 중요 패치 업데이트에는 대상 서버의 완전한 손상을 허용하기 때문에 CVSS 기본 점수가 9 점인 중대한 문제와 같이 Oracle Database에 대한 8 가지 취약점 수정 사항이 포함되어 있습니다.

추가 데이터베이스 취약점은 오라클의 심각도 등급 시스템에서 높은 점수를 받았으며 여러 가지 취약점을 원격으로 악용 할 수 있습니다.

전체적으로 Oracle Fusion Middleware 제품에 대해 36 개의 새로운 수정 사항이 발행되었으며, 가장 심각한 수정 사항은 9.3의 등급을 받았습니다. 이 중요 패치 업데이트에서 해결 된 Oracle Fusion Middleware의 두 가지 취약점으로 인해 서버가 인계 될 수 있습니다.

Oracle E-Business Suite에는 10 개의 새로운 수정본이, Oracle Supply Chain Suite에는 6 개, Oracle PeopleSoft Enterprise에는 7 개, Oracle JDEdwards EnterpriseOne 용, Oracle Siebel CRM 용 17 개 및 Oracle iLearning 용 2 개가 새로 추가되었습니다.

또한이 CPU는 Oracle Sun Systems Products Suite에 대한 29 건의 수정 사항을 제공했으며이 취약점 세트에 대해보고 된 CVSS 점수는 10이었습니다.이 특히 고약한 결함은 XCP 2232 이전의 XCP 펌웨어 버전에 영향을줍니다.

Java가 자연스럽게 목록에 나타납니다. 가장 심각한 취약점은 높은 타자로 10 점을 얻었습니다. 19 개의 취약점 중 15 개는 클라이언트 전용 설치에 영향을 미치고 2 개는 클라이언트 및 서버 설치에 영향을주고 2 개는 JSSE 설치에 영향을 미칩니다. 그러나 과거에 중요한 업데이트가 Java에 주로 집중 한 사례를 고려하면이 보안 수정 비율은 상대적으로 낮습니다.

오라클 주

영향을받는 소프트웨어의 전체 목록은 아래와 같습니다

Java 제공 업체 Waratek CTO John Matthew Holt의 애플리케이션 보안

오늘날의 Oracle Critical Patch Update (CPU)는 Java SE에서 4 가지 ‘완벽한 10 가지의 가장 위험한 취약점이 존재하며 샌드 박스 우회에 의해 지배됩니다. CPU에서 CVE를 식별 할 수있는 CVE는 5 개 중 4 개가 전체 또는 부분 샌드 박스 우회에 악용 될 수 있습니다.

“안전한 샌드 박스”디자인을 약속 한 자바 기술이 16 가지 새로운 샌드 우회에 취약한 것은 현대의 패러독스입니다. 이는 마지막 CPU 이후 120 시간마다 한 번의 새로운 Java 샌드 박스 우회를 나타냅니다.

2014 년 봇넷 : ZeuS 급증, 저속 정책으로 웹 사용자가 위험에 처해 있음, FTC가 Snapchat에 대한 사용자 개인 정보, Bluster, 허세와 침해 : 사이버 보안에 대한 오늘날의 테러리스트, 백악관 네트워크에 침입 한 해커, 2015 년 사이버 보안에 대한 FireEye 예측 분석에 따르면 Tor 웹 사이트 발작에 대한 FBI 주장에 대한 의심, 2014 년 3 분기에 대량 DDoS 공격, Apple iOS Masque 결함 위험, 통신 앱 침투 발견, 영국의 해커 침입, 기업 네트워크 방어에 대한 유죄 판결, 전세계의 150 개 은행에 대한 ZeuS 변형

또한 경영진은이 업데이트 범위와 관련된 위협에는 로컬 데이터 읽기 및 쓰기에서부터 “임의 코드 실행을 포함한 운영 체제 인계”를 완료하는 모든 것을 포함한다고 지적했습니다. 당연히 완전한 시스템 인계는 사용자의 민감한 데이터를 위험에 빠뜨리거나, 공격자가 악성 코드를 설치하거나, ​​신원을 도용하거나, 감염된 시스템을 사용하여 다른 사람을 감염시킬 수 있으므로 가장 심각한 위협입니다.

홀트는 자바의 보안 기록은 오라클에 기인 한 것이 아니라 “자바의 보안 관리자 및 보안 아키텍처에 존재하는 결함의 함수이다. 오라클은 Java 취약점에 대한 훌륭한 업무를 수행하고 있습니다. 그러나 컨테이너 화 및 자동 런타임 자체 보호가 Java에 통합 될 때까지 보안 레코드가 향상되지는 않습니다.

다음 CPU 날짜는 2015 년 4 월 14 일입니다.

읽기 : 보안 세계에서

혁신, M2M 시장 침체 브라질, 보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 사용자가 중요한 보안 구멍을 고치기 위해 지금 업데이트하도록 촉구 보안, 백악관, 정보 보안 담당자

? M2M 시장은 브라질에서 다시 반송

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임