My Oracle Support Banner

Oracle Database 와 Fusion Middleware 제품의 보안 취약점관련 FAQ (Doc ID 2343891.1)

Last updated on MAY 18, 2020

적용 대상:

Oracle WebLogic Server - 버전 9.0 과(와) 그 후속
Oracle Database Exadata Express Cloud Service - 버전 N/A 과(와) 그 후속
Oracle Cloud Infrastructure - Database Service - 버전 N/A 과(와) 그 후속
Oracle Database - Enterprise Edition - 버전 10.1.0.5 과(와) 그 후속
Gen 1 Exadata Cloud at Customer (Oracle Exadata Database Cloud Machine) - 버전 N/A 과(와) 그 후속
이 문서의 내용은 모든 플랫폼에 적용됩니다.


목적

Oracle 보안 경고(Security Alert) 와 취약점(Vulnerability) 관련 해결 정책/절차

본 My Oracle Support 문서에서는 Oracle 제품의 취약점을 어떻게 관리하는지에 대한 정보를 제공합니다. 이 문서의 FAQ 에 나와 있는 질문과 답변들은 다음 Oracle 보안 사이트로부터 발취된 것입니다. :

Critical Patch Updates 와 보안 경고(Security Alerts)
https://www.oracle.com/technetwork/topics/security/alerts-086861.html

보안 경고 와 취약점 관련 해결 정책/절차
https://www.oracle.com/corporate/security-practices/assurance/vulnerability/security-fixing.html

자주 문의 되는 것들:

CVE-2020-2883

CVE 는 Oracle Security Advisory for April 2020 에 포함되어 있습니다:

Oracle 에서는 Java 를 업데이트 하고 WLS PSU 를 적용하고 T3/T3S 프로토콜에 대한 보안 설정을 매우 권장하고 있습니다.

 April 2020 <Note 2633852.1> 에 보시면 서버 보안화를 위한 내용들이 나와 있습니다.

Section 3.3.47 "Oracle WebLogic Server" - 이것은 10.3.6, 12.1.3, 12.2.1.3, 12.2.1.4 버전에 대한 내용입니다. Alert 섹션, "Supported Products and Versions" 를 참고 하시기 바랍니다. 오래된 버전을 사용하는 경우 <Note 950131.1> 에 따라 업그레이드 해야 합니다.

일반적인 Deserialization 취약점

1. WLS PSU 와 함께 배포된 다음 문서를 참고 하시기 바랍니다:

Note 2421487.1 Restricting Incoming Serialized Java Objects to Oracle WebLogic Server - New with WLS PSUs

2. Oracle 다음 문서들에 나와 있는대로 T3/T3S 프로토콜에 대한 보안 설정을 매우 권장하고 있습니다.

Note 2665794.1 How To Restrict T3/T3S Protocol Traffic for WebLogic Server
Note 2664435.1 How to Restrict T3/T3S Protocol Traffic for Java Cloud Service

다음은 최신 WLS PSU 와 JDK 업데이트들에 대한 이전 CVEs 에 대한 내용입니다 :

CVE-2019-2729 - Deserialization Vulnerability (2019)

Oracle WebLogic Server 에 대한 다음 Security Alert 는 June 18, 2019 에 공개되었습니다 :

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

해당 'Alert' 는 Jan 2019 WLS PSU 또는 April 2019 WLS PSU 가 적용된 상태에서 적용하는 패치에 대한 정보를 제공합니다.

Note 2555019.1 Security Alert CVE-2019-2729 Patch Availability Document for Oracle WebLogic Server

제공되는 패치는 CVE-2019-2729 와 또한 CVE-2019-2725 에 대한 fix 를 포함합니다 (아래 'April 26 Alert' 를 참고하시기 바랍니다.) :

         Update July 16, 2019: FCVE-2019-2729 와 CVE-2019-2725 에 대한 수정이 July 2019 또는 그 이후의 PSUs 에 추가되었습니다.

      다음 문서에서 최신 PSU 를 확인하실 수 있습니다.

      Note 1470197.1 Patch Set Update (PSU) Release Listing for Oracle WebLogic Server (WLS)

FAQs

 

CVE-2019-2725 - Deserialization Vulnerability (2019)

Oracle WebLogic Server 에 대한 다음 Security Alert 는 April 26, 2019 에 공개되었습니다 :

https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

해당 'Alert' 는 Jan 2019 WLS PSU 또는 April 2019 WLS PSU 가 적용된 상태에서 적용하는 패치에 대한 정보를 제공합니다.

Note 2535708.1 Security Alert CVE-2019-2725 Patch Availability Document for Oracle WebLogic Server

 

CVE-2018-2628 - Deserialization Vulnerability (2018)

Note 2395745.1 Additional Information About the Oracle WebLogic Server Vulnerability CVE-2018-2628

 

 

CVE-2015-4852 - Deserialization Vulnerability (2015)

https://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html

<Note 2075927.1> CVE-2015-4852 Patch Availability Document for Oracle WebLogic Server Component of Oracle Fusion Middleware     
<Note 2076338.1> CVE-2015-4852 Mitigation Recommendations for Oracle WebLogic Server Component of Oracle Fusion Middleware

CVE-2014-3566 - SSL V3.0 "Poodle" Vulnerability (2014)

https://www.oracle.com/technetwork/topics/security/poodlecve-2014-3566-2339408.html

<Note 1936300.1> How to Change SSL Protocols (to Disable SSL 2.0/3.0) in Oracle WebLogic Server & Fusion Middleware Products

CVE-2014-0160 - OpenSSL Security Bug - Heartbleed (2014)

https://www.oracle.com/technetwork/topics/security/alert-cve-2014-0160-2190703.html

and
https://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html


중요: 여기에 나온것이 전부는 아닙니다. 위의 보안 경고(Security Alert) 페이지를 참고 하시기 바랍니다.

질문과 답변

To view full details, sign in with your My Oracle Support account.

Don't have a My Oracle Support account? Click to get started!


이 문서에서
목적
 Oracle 보안 경고(Security Alert) 와 취약점(Vulnerability) 관련 해결 정책/절차
 자주 문의 되는 것들:
 일반적인 Deserialization 취약점
 CVE-2019-2729 - Deserialization Vulnerability (2019)
 CVE-2019-2725 - Deserialization Vulnerability (2019)
 CVE-2018-2628 - Deserialization Vulnerability (2018)
 CVE-2015-4852 - Deserialization Vulnerability (2015)
 CVE-2014-3566 - SSL V3.0 "Poodle" Vulnerability (2014)
 CVE-2014-0160 - OpenSSL Security Bug - Heartbleed (2014)
질문과 답변
 PART I: 모든 Oracle 제품의 취약점(Vulnerability) 에 관한 FAQs
 1. 첫번째 단계
 2. 취약점(Vulnerability) 에 대한 정보
 3. 스캔 보고서(Scan Reports)
 4. CVE 번호 확인
 5. 취약점 관련한 SR 을 생성하는 방법
 PART II: Oracle WebLogic Server (WLS) 의 취약점에 대한 FAQs 
 1. 첫번째 단계
 2. 보안을 위한 최선책(Security Best Practices)
 PART III: Oracle Fusion Middleware (10g/11g/12c) 의 취약점에 대한 FAQs 
 1. 첫번째 단계
 2. 보안을 위한 최선책(Security Best Practices)
 3. Apache 취약점
 4. 자바 취약점(Java Vulnerabilities)
참고

My Oracle Support provides customers with access to over a million knowledge articles and a vibrant support community of peers and Oracle experts.