분기별로 발표되는 오라클 취약점이 공개되었습니다. 원문은 Oracle Critical Patch Update Advisory - July 2010입니다. 다음 공개 예정일은 10월 12일입니다. CVE 번호 뒤에 붙어있는 숫자는 영향을 받는 가장 최신 버전입니다.

오라클 데이터베이스 서버

• CVE-2010-0911 (9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4, 11.1.0.7, 11.2.0.1)
  Listener 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-0903 (9.2.0.8, 10.1.0.5, 10.2.0.4, 11.1.0.7, 11.2.0.1)
  Net Foundation Layer 취약점, 인증 없이 원격 익스플로잇 가능, 윈도우즈 플랫폼만 해당
• CVE-2010-0902 (9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4, 11.1.0.7, 11.2.0.1)
  Oracle OLAP 취약점
• CVE-2010-0892 (3.2.0.00.27)
  Application Express 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-0900 (9.2.0.8, 10.1.0.5, 10.2.0.4, 11.1.0.7, 11.2.0.1)
  Network Layer 취약점, 인증 없이 원격 익스플로잇 가능, 윈도우즈 플랫폼만 해당
• CVE-2010-0901 (9.2.0.8, 9.2.0.8DV, 10.1.0.5, 10.2.0.4, 11.1.0.7, 11.2.0.1)
  Export 취약점

오라클 타임스텐 인메모리 데이터베이스

• CVE-2010-0873 (7.0.6.0)
  Data Server 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-0910 (7.0.6.0, 11.2.1.4.1)
  Data Server 취약점, 인증 없이 원격 익스플로잇 가능

오라클 시큐어 백업

• CVE-2010-0898 (10.3.0.1)
  인증 없이 원격 익스플로잇 가능
• CVE-2010-0907 (10.3.0.1)
  인증 없이 원격 익스플로잇 가능
• CVE-2010-0899 (10.3.0.1)
  윈도우즈 플랫폼만 해당
• CVE-2010-0906 (10.3.0.1)
• CVE-2010-0904 (10.3.0.1)
  인증 없이 원격 익스플로잇 가능

오라클 퓨전 미들웨어

• CVE-2010-0849 (R27.6.6: JRE/JDK 1.4.2, 5, 6; R28.0.0: JRE/JDK 5 and 6)
  JRockit 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2009-3555 (7.0 SP7, 8.1 SP6, 9.0, 9.1, 9.2 MP3, 10.0 MP2, 10.3.2)
  WebLogic Server 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-2375 (7.0 SP7, 8.1 SP6, 9.0, 9.1, 9.2 MP3, 10.0 MP2, 10.3.2, 10.3.3)
  WebLogic Server 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-2370 (5.7 MP3, 6.0 MP5, 10.3 MP2)
  Oracle Business Process Management 취약점
• CVE-2010-0835 (10.1.2.3)
  Wireless 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-0081 (10.1.2.3, 10.1.4.0.1)
  Application Server Control 취약점
• CVE-2010-2381 (10.1.2.3, 10.1.4.0.1)
  Application Server Control 취약점

오라클 엔터프라이즈 매니저 그리드 컨트롤

• CVE-2010-2373 (10.1.0.6, 10.2.0.5)
  Console 취약점, 인증 없이 원격 익스플로잇 가능

오라클 E 비즈니스 스위트

• CVE-2010-0908 (12.1.2)
  Oracle Applications Framework 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-0915 (11.5.10.2, 12.0.6, 12.1.2)
  Oracle Advanced Product Catalog 취약점
• CVE-2010-0912 (11.5.10.2, 12.0.6, 12.1.2)
  Oracle Applications Framework 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-0905 (11.5.10.2, 12.0.4)
  Oracle Applications Manager 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-0913 (11.5.10.2, 12.0.6, 12.1.2)
  Oracle Applications Manager 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-0909 (11.5.10.2, 12.0.6, 12.1.2)
  Oracle Applications Framework 취약점
• CVE-2010-0836 (11.5.10.2, 12.0.6, 12.1.2)
  Oracle Knowledge Management 취약점, 인증 없이 원격 익스플로잇 가능

오라클 서플라이 체인 제품군

• CVE-2010-2372 (6.1.1)
  Oracle Transportation Management 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-2371 (6.1.1)
  Oracle Transportation Management 취약점, 인증 없이 원격 익스플로잇 가능

오라클 피플소프트, JDEdwards 제품군

• CVE-2010-2401 (HCM 9.0 Bundle #9)
  PeopleSoft Enterprise HCM - eProfile Mgr 취약점
• CVE-2010-2402 (8.49.27)
  PeopleSoft Enterprise PeopleTools 취약점
• CVE-2010-2380 (SCM 8.9 Bundle #37 SCM 9.0 Bundle #30 SCM 9.1 Bundle #4)
  PeopleSoft Enterprise FSCM 취약점
• CVE-2010-2398 (HCM 9.0 Bundle #12)
  PeopleSoft Enterprise HCM 취약점
• CVE-2010-2379 (HCM 9.0 Bundle #13 HCM 9.1 Bundle #2)
  PeopleSoft Enterprise HCM - Time & Labor 취약점
• CVE-2010-2377 (8.49.27 8.50.10)
  PeopleSoft Enterprise PeopleTools 취약점
• CVE-2010-2378 (CRM 9.0 Bundle #28 CRM 9.1 Bundle #4)
  PeopleSoft Enterprise CRM 취약점
• CVE-2010-2403 (Campus Solutions 9.0 Bundle #17)
  PeopleSoft Enterprise Campus Solutions 취약점

오라클 썬 제품군

• CVE-2010-0083 (8, 9, 10, OpenSolaris)
  Solaris 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2008-4247 (8, 9, 10, OpenSolaris)
  Solaris 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-0916 (10, OpenSolaris)
  Solaris 취약점
• CVE-2010-2385 (4.0.13)
  Sun Java System Web Proxy Server 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-2392 (10, OpenSolaris)
  Solaris 취약점
• CVE-2010-0914 (1.0)
  Sun Convergence 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-2386 (8, 9, 10, OpenSolaris)
  Solaris 취약점
• CVE-2010-2394 (10)
  Solaris 취약점
• CVE-2010-2399 (10, OpenSolaris)
  Solaris 취약점
• CVE-2010-2400 (9, 10, OpenSolaris)
  Solaris 취약점
• CVE-2009-3763 (7.1, 7 2005Q4, OpenSSO Enterprise 8.0)
  Access Manager / OpenSSO 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2009-3764 (OpenSSO Enterprise 8.0)
  OpenSSO 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2009-3762 (OpenSSO Enterprise 8.0)
  OpenSSO 취약점, 인증 없이 원격 익스플로잇 가능
• CVE-2010-2393 (10, OpenSolaris)
  Solaris 취약점 CVE-2009-0217 (OpenSSO Enterprise 8.0)
  OpenSSO 취약점
• CVE-2010-2376 (8, 9, 10)
  Solaris 취약점
• CVE-2010-2382 (8, 9, 10)
  Solaris 취약점
• CVE-2010-2383 (8, 9, 10, OpenSolaris)
  Solaris 취약점
• CVE-2010-2384 (9, 10)
  Solaris 취약점
• CVE-2010-2374 (12 update 1)
  Solaris Studio 취약점
• CVE-2010-2397 (Sun Java System Application Server 8.0, 8.1, 8.2, GlassFish Enterprise Server v2.1.1)
  Sun GlassFish Enterprise Server, Sun Java System Application Server 취약점

보안정보의 블로고스피어, 뉴스, 권고문, 익스플로잇 메뉴의 RSS 제목에 일괄적으로 이스케이프가 빠진 취약점이 있었습니다. 블로그 제목은 이스케이프가 되었는데 오히려 더 중요한 글 제목에서 이스케이프를 빠뜨렸네요. 인덱스 페이지에 출력되는 RSS 글 제목은 이스케이프 처리 되어있었습니다.

권고문/익스플로잇 쪽에 canvas 태그가 올라와서 알게 되셨다곤 하지만 제가 요새 정신이 없어서 모르고 지나칠 수도 있었는데 직접 테스트까지 해서 알려주신 헐랭이님께 감사드립니다. 사용자 분들께 불편을 끼쳐드리고 본의 아니게 위협에 노출시킬 수도 있었던 점에 대해 죄송하다는 말씀 드리고, 앞으로 개발 시 더 주의하도록 하겠습니다.

양봉열 배상

회사 설립 이후에도 그동안 약관 개정을 안 하고 있었는데 주체를 변경했습니다. 과거와 달라지는 것은 없으니 따로 확인하실 내용은 없겠으나 확인차 구 약관 및 새 약관을 첨부합니다.

• 구 약관 내용
• 새 약관 내용

슬슬 백엔드를 자체 개발한 크라켄 플랫폼 기반으로 변경하고 실버라이트 기반 ISAC을 오픈하면서 현재 제공하는 내용 외에 추가로 보안정보를 자체적으로 수집/가공해서 제공하려고 합니다. 그 때까지 조금만 기다려주세요.