취약점 개요
■ 위험도
- 상
■ 점검 목적
- 정책에 따른 최신 보안패치 및 벤더 권고사항을 적용하여 데이터베이스의 보안성을 향상시키고자 함
■ 보안 위협
- 데이터베이스의 주요 보안 패치 등을 설치하지 않은 경우, 공격자가 알려진 취약점을 이용하여 데이터베이스에 접근 가능함
점검 및 조치 방법
■ 판단 기준
- 양호: 버전별 최신 패치를 적용한 경우
- 취약: 버전별 최신 패치를 적용하지 않은 경우
■ 조치 방법
데이터베이스에 대한 버전을 확인 후 업그레이드 및 패치 적용
■ Oracle
ORACLE_HOME에 설치된 Oracle 제품 컴포넌트를 조회하거나, 적용된 임시 패치를 조회할 때는 lsinventory 명령어를 사용함
• Oracle 제공 패치 명령을 이용하여 확인함
$opatchlsinventory[ -all ] [ -detail ]
[ -invPtrLoc ]
[ -jre ] [ -oh ]
all : ORACLE_BASE 밑에 설치된 모든ORACLE_HOME 정보를 표시
detail : 설치된 패치 내에 포함된 라이브러리 파일까지 표시하므로 패치 적용 시 충돌되는 객체 파일을 확인 가능함
∎ Unix 시스템
$ORACLE_HOME/OPatch/opatchlsinventory -detail
∎ Windows 시스템
%ORACLE_HOME%\OPatch\opatchlsinventory -detail
metalink.oracle.com 에서 최신 패치 버전 확인 후 opatch 명령을 통해 도출된 결과를 비교함 - 버전이 9.2.0, 10.2.0, or 10.1.0이 아니면 아주 취약함
- Oracle 10g Release 2의 patchset level이 10.2.0.1이나 이후 버전이 아니면 취약함
- Oracle 10g Release 1의 patchset level이 10.1.0.4이나 이후 버전이 아니면 취약함
- Oracle 9i Release 2의 patchset level이 9.2.0.6이나 이후 버전이 아니면 취약함
- Oracle 9.0이 Oracle 9iAS 또는 Oracle AS10g를 지원하기 위해 사용되면 취약함
Oracle
※ 참고 사이트 www.oracle.com/technetwork/database/enterprise-edition/downloads/index.html
■ MSSQL
※ 참고 사이트 support.microsoft.com/kb/321185/en-ussupport.microsoft.com/kb/321185/en-us
www.sqlsecurity.com/FAQs/SQLServerVersionDatabase/tabid/63/Default.aspx
■ MySQL
※ 참고 사이트
버그 패치된 릴리즈 사이트 downloads.mysql.com/archives.php
버그 현황 사이트 bugs.mysql.com/bugstats.php