와라텍. Oracle의 최신 중요 패치 업데이트 5년 만에 최대 규모. 와라텍 고객에게는 런타임 가상 패치가 제공.

2020. 7. 17. 16:11

오라클은 최신 중요 패치 업데이트를 발표했습니다. 이는 5년 만에 최대 규모의 패치 발표입니다.

7월 오라클 2020중요 패치 업데이트 CPU(Critical Patch Update)는 오라클 제품군 전체에서 443개 CVE를 배포하였습니다. 발표에 따르면 CPU패치는 29개 제품 결함이 있으며 "critical" 등급을 가지고 있고 원격으로 악용될 수 있다고 합니다. CPU에는 아래 내용이 포함 됩니다.

• Java SE용 패치 11개, 이 중 11개는 원격으로 실행
• Oracle Fusion Middleware용 패치 52개, 이 중 48개를 원격으로 실행할 수 있음
• Oracle E-Business Suite용 패치 30개, 이 중 24개를 원격으로 실행할 수 있음
• Oracle PeopleSoft용 패치 11개, 이 중 9개를 원격으로 실행할 수 있음

Waratek's Advice to Customers & Prospects

와라텍 Patch 및 Upgrade 고객은 해당 CPU CVE를 처리하는 런타임 가상 패치를 받습니다.
다운타임 없이 가상 패치를 구현하여 즉각적인 보호를 실현할 수 있으며 일부 CVE는 제로데이(Zero-day) 보호 기능을 제공하는 와라텍의 내장 CWE규칙을 통해 별도의 구성 없이 해결할 수 있습니다.

와라텍의 고객이 아닌 경우 오라클에서 배포함 중요 패치 업데이트를 최대한 빠른 기간내 지체 없이 적용해야 할것입니다.

Q3 CPU Java SE highlights

• Java SE는 여전히 엔터프라이즈 애플리케이션에 가장 널리 사용되는 프로그래밍 언어로서, 7월 CPU에 패치된 취약성 의 100%를 원격으로 이용할 수 있으며, 여기에는 Java 7과 이전 및 최신 Java 14도 포함.
• Java SE에는 총 11개의 새로운 수정 사항이 있으며, 최고 CVSS 점수는 8.3점이다.
• Java SE용 CPU에서 Java SE 버전 7u261, 8u251, 11.0.7 및 14.0.1의 결함을 패치.
• JDK 8u261은 TLS(Transport Layer Security) 1.3 규격(RFC 8446)의 구현을 포함한다. TLS 1.3은 클라이언트 엔드포인트 의 기본 SSLContext("SSL" 또는 "TLS")에 대해 비활성화된다.(TLS 1.3은 이전 버전과 직접 호환되지 않는다는 점에 유의)
• Java SE에서 해결 된 치명적인 취약점이 없다. 고정 취약성의 27%는 높은 심각도, 27%는 중간 심각도, 나머지는 낮은 심각도.
• 고정 취약성의 36%는 Java SE의 핵심 라이브러리에서 수정 되었음.

Regarding other Oracle products

• 15개의 Oracle 제품에는 CVSS 3.0 기본 점수가 9.0 이상인 CVE용 패치가 포함되어 있으며, 여기에는 Oracle Communications Applications - 10점이 포함된 제품 1개가 포함된다.10개 제품은 최소 1개의 CVE 등급 9.8을 가지고 있다.
• Fusion Middleware 52개의 CVE를 수정했으며 48개는 인증 없이 원격으로 악용될 수 있다. 최고 CVSS v3.1 기본 점수는 9.8이다.
• WebLogic 서버의 약 20% 수정사항은 시스템의 완전한 손상을 일으킬 수 있는 역직렬화 취약성에 대한 수정 사항이다.
• WebLogic 서버의 임의 파일 읽기 취약성을 허용하는 CVE-2020-14622 패치가 적용됨

CPU관련 전체 소식이 궁금하면 여기를 클릭하세요.

About Waratek

Waratek은 2019 년 사이버 보안 혁신 상 (Cybersecurity Breakthrough Award)의 올해의 웹 보안 솔루션 인 2020 Cyber Defense Magazine의 최첨단 애플리케이션 보안 상을 수상했으며 RSA Innovation Sandbox Award의 이전 수상자와 12 개 이상의 다른 수상 및 표창을 받았습니다.

와라텍에 대한 다른 궁금한 사항이나 문의 하실 내용은 아래 링크를 잠조하세요.

와라텍 정보 바로보기

Maxtive 맥스티브 - 와라텍,헤임달,아크로니스,어플리케이션 보안,RASP

어플리케이션 가상 패치, 가상 업그레이드를 통한 운영 효율성을 제공하는 와라텍 SQL데이터 라우팅,DB 마이그레이션,SQL분석 및 최적화 솔루션 헤임달 클라우드 컴퓨팅, 백업, 파일공유 솔루션 ��

maxtive.co.kr

'와라텍 > 와라텍 info' 카테고리의 다른 글

와라텍. 아파치는 CVE-2019-0230, CVE-2019-0233 취약점에 대한 업그레이드를 권고합니다. (0)	2020.08.18
와라텍. 지난달 패치 우선순위는 어떻게 정하셨나요? (0)	2020.08.04
와라텍. 2020년 상반기 CPU(Oracle Critical Patch Update), 소프트웨어 패치가 두 자리 수 증가.와라텍은 런타임 패치가 완료되었습니다. (0)	2020.07.01
와라텍. On Premise와 AWS,Azure와 같은 퍼블릭 클라우드 연동 보안을 위한 RASP(Runtime Application Self Protect). (0)	2020.06.17
Waratek Benefit Point(잇점) 1 (0)	2020.06.03

소프트웨어 전문 컨설팅 및 기술지원 전문