Oracle Releases January 2025 Patch to Address 318 Flaws Across Major Products
- 패치 업데이트 개요
- 318개의 취약점: 오라클은 2025년 1월 Critical Patch Update(CPU)를 발표하며, 주요 제품 및 서비스에서 318개의 보안 결함을 해결
- 심각한 취약점: 가장 심각한 취약점은 오라클 애자일 PLM 프레임워크의 9.9 CVSS 점수를 가진 취약점으로, 원격 공격자가 취약한 시스템을 제어할 수 있게 해줌
- 주요 취약점
- 오라클 애자일 PLM 프레임워크 (CVE-2025-21556)
- CVSS 점수: 9.9
- 악용 가능성: 네트워크를 통한 HTTP 접속으로 낮은 권한의 공격자가 쉽게 악용 가능
- 추가 사항: 오라클은 CVE-2024-21287 (CVSS 점수 7.5)도 패치했으며, 이는 2024년 11월에 실제로 악용된 바 있음
- 오라클 WebLogic 서버 (CVE-2025-21535)
- CVSS 점수: 9.8
- 악용 가능성: IIOP 또는 T3를 통한 네트워크 접속으로 인증되지 않은 공격자가 악용 가능
- 오라클 커뮤니케이션 결제 시스템 (CVE-2024-37371)
- CVSS 점수: 9.1
- 악용 가능성: Kerberos 5에서 메시지 토큰을 악용해 잘못된 메모리 읽기를 유도할 수 있음
- 기타 주요 취약점
- CVE-2023-3961: JD Edwards EnterpriseOne Tools
- CVE-2023-46604: Oracle Communications Diameter Signaling Router
- CVE-2024-45492: XML 파서 취약점
- CVE-2024-56337: Apache Tomcat 서버 취약점
- CVE-2023-29824: Oracle Business Intelligence Enterprise Edition
- 오라클 애자일 PLM 프레임워크 (CVE-2025-21556)
- 오라클 리눅스 업데이트
- 오라클은 285개의 보안 패치를 포함하는 오라클 리눅스 업데이트를 발표하며 다양한 구성 요소의 취약점을 해결
- 권고 사항: 사용자들은 시스템을 안전하게 유지하기 위해 반드시 해당 패치를 적용해야 함
- 보안 권고
- 즉시 패치 적용: 리스크를 완화하고 오라클 시스템의 무결성을 보장하기 위해 패치를 적용할 것
- 악용 감시: CVE-2020-2883 (Oracle WebLogic 서버)와 같은 취약점이 실제로 악용되고 있으므로, 이에 대한 감시가 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Ivanti Connect Secure 원격 코드 실행 취약점(CVE-2025-0282) PoC 공개 (0) | 2025.02.02 |
|---|---|
| CISA, Aviatrix Controllers OS 명령어 삽입 취약점 경고 (CVE-2024-50603) (0) | 2025.02.02 |
| 7-Zip 취약점, Windows 보안 기능 우회 가능성 (0) | 2025.02.01 |
| AIRASHI 봇넷, cnPilot 라우터 제로데이 취약점 악용 (0) | 2025.02.01 |
| Ivanti Cloud Service Applications 취약점 연쇄 활용 (0) | 2025.01.31 |