오라클DB 보안 결함 발견

까나리의 이미지

1. 오라클DB 보안 결함 발견
http://www.dt.co.kr/contents.htm?article_no=2006020102010860686002

2. `오라클 DB 보안결함` 대응 미적…전산마비 사태 우려
http://www.dt.co.kr/contents.htm?article_no=2006020602010151686001

3. 오라클 DB보안결함 원인과 대책
http://www.dt.co.kr/contents.htm?article_no=2006020602010351686002

4. `오라클 DB보안` 기업 패치작업 `난항`
http://www.dt.co.kr/contents.htm?article_no=2006020702010351686002

Quote:
엑셈 조종암 사장은 "제품 설치시 테스트 사용자 계정의 패스워드만으로 DB 전체를 초토화시킬 수 있다"며 "이미 일주일전부터 이같은 내용이 특정 사이트를 통해 알려졌지만 아직 국내 오라클 고객사들에게 제대로 전달되지 않고 있다"고 밝혔다.

현재 문제가 있는 오라클은 8i, 9i, 10g 전 버전이고, 오라클 설치시 제공되었던 기본 유저들로서 어드민 권한을 가질 수 있는 것입니다.

PS. 출장중 오라클 엔지니어의 말을 빌어 기사 찾아봤습니다. :)

오만한 리눅서의 이미지

scott/tiger ?

:evil: :lol:

elflord의 이미지

제경우 외부와 단절된 인트라넷에서, 한정된 유저들이 전용클라이언트만 사용해서 간접적으로 DB에 접속하는 환경으로 오라클 서버를 운영중인지라 세큐리티 문제는 크게 걱정되지 않습니다만... 시스템 버그에 관련된 문제로 마이너버전 업그레이드 패치가 될경우 안할 도리가 없습니다. 무시하고 있다가 해당 버그문제로 DB인스턴스가 멈추면 새벽에라도 택시잡고 달려가야 하니까요. (실제로 몇번 달렸습니다. ㅠㅠ)

오라클10gR1버전의 경우 개별 버그패치가 아닌 마이너 버전 업그레이드가 현재 10.1.0.4패치까지 나와있는 상황인데, 이 패치파일셋 자체가 전체 파일용량도 무려 600메가(Linux x86기준)에 육박하는데다가 운영DB가 CRS까지 적용하고 있는 상황이면 패치를 적용하는데 걸리는 시간은 짧게 잡아도 2시간정도 걸립니다. (제경우 테스트 서버를 이용해서 처음 패치테스트를 했을때는 4시간도 넘게 걸렸다는...) 인스턴스 재기동도 몇번은 해야하고요. 24시간 365일 운영해야하는 서비스에 연결된 DB의 경우 패치 스케줄잡는데만도 한달넘게 걸리는 경우가 생깁니다. (전국에 공지하고 스케줄 잡아야 하는 일도 있으니...)

오라클이 꽤나 예전부터 핫플러그 패치를 선전문구로 쓰고 있지만 그 문구가 완전히 현실화 되기엔 아직 멀었다는 생각입니다. 일부 기업들이 패치하기전까지 쓸수있는 SW를 오라클에 요구하는 심정도 충분히 이해가 가는군요.


===== ===== ===== ===== =====
그럼 이만 총총...[竹]
http://elflord.egloos.com

ydhoney의 이미지

뭘 새삼스럽게 그러나 모르겠습니다.

다들 자기 DB테스트 할때는 잘 쓰면서 거기에 남이 들어갈거란 생각은 안하는 모양입니다. :)

Mins의 이미지

인터넷상에 공개된 공격 코드가 있고, 여러 기사에서도 이를 알리고 있기 때문에, 나름대로 주의를 해야 되는 취약점이라고 생각 됩니다.

기사에서는, 간단하게 30초만에 해킹에 성공할수 있다고 하던데..
제가 해본 결과로는 공개된 프로그램으로는 안되더군요... -_-;;
(이쪽 환경 문제인지도 모르겠지만...)

결국 환경에 맞게 공격 코드를 새로 작성해서 테스트해봤습니다. -_-;; 물론 손쉽게(?) 성공을 할수 있었고요..

디폴트 계정에 주의 하시고..
외부에 계정과 패스워드가 노출되지 않으면 안전하긴 하니 패치의 부담이 덜어질지는 모르겠습니다. ^^

다른 여러 취약점들도 같이 발표가 되었던데...
그쪽은 아직 확인을 못해봤네요. -_-;;;

까나리의 이미지

간단하게 처리하는 방법은

1. 뭐 기본생성 계정의 유저 패스워드를 변경한다
2. 또는 기본생성 계정을 삭제 or LOCK
3. 가장 안전한 방법이지만 가장 귀찮은 패치를 감행한다~~

그러나 Oracle 9i 9.0.2.4 를 사용하고 있는데, 패치셋은 9.0.2.5 부터 사용가능하다고 하는데 ... 낄낄 배보다 배꼽이 더 크겠군용~