Oracle Critical Patch Update, April 2025 Security Update Review | Qualys Security Blog
Oracle Critical Patch Update, April 2025 Security Update Review | Qualys
Oracle released its first quarterly edition of this year’s Critical Patch Update. The update received patches for 378 security vulnerabilities. Some of the vulnerabilities addressed in this update…
blog.qualys.com
Oracle Issues Patch for 378 Vulnerabilities in Major Security Rollout
Oracle Issues Patch for 378 Vulnerabilities in Major Security Rollout
Oracle Corporation has released a sweeping Critical Patch Update (CPU) for April 2025, addressing a staggering 378 security vulnerabilities.
gbhackers.com
- 주요 내용 요약
- 오라클은 2025년 4월 분기별 중요 보안 패치 업데이트(Critical Patch Update, CPU)를 통해 총 378개의 취약점을 수정함
- 전체 패치 중 약 79%에 해당하는 300개는 오픈소스 구성 요소 등 오라클 외부에서 기인한 CVE에 해당함
- 취약점은 오라클 제품군 전반에 걸쳐 발견되었으며, 일부는 단일 제품군이 아닌 복수 제품에 영향을 미침
- 오라클 커뮤니케이션 제품군에서 가장 많은 103개의 보안 패치가 포함되었으며, 그 중 82개는 인증 없이 네트워크를 통해 악용 가능함
- 영향 받은 주요 제품군 및 위험도 높은 CVE
- Oracle Communications
- 103개 취약점 중 82개가 인증 없이 원격 악용 가능
- 주요 CVE: CVE-2024-56337, CVE-2024-52046, CVE-2025-1974 등
- Oracle MySQL
- 43개 패치 중 2개는 인증 없이 원격 악용 가능
- CVE-2024-40896은 CVSS 9.1의 치명적 위험도
- Oracle Communications Applications
- 42개 패치 중 35개는 인증 없이 원격 악용 가능
- 중복되는 치명적 CVE 존재
- Oracle Financial Services Applications
- 34개 패치 중 22개는 인증 없이 원격 악용 가능
- CVE-2024-56337의 경우 CVSS 9.8로 매우 높은 위험도
- Oracle Fusion Middleware
- 31개 패치 중 26개는 인증 없이 원격 악용 가능
- 다수 제품에 걸친 다중 CVE 존재
- Oracle Communications
- 오라클 데이터베이스 제품별 보안 업데이트
- Oracle Database Server: 7개 보안 패치 (최고 CVSS 7.4)
- Oracle GoldenGate: 4개 보안 패치 (최고 CVSS 7.5)
- Oracle TimesTen In-Memory Database: 2개 보안 패치 (최고 CVSS 7.5)
- Oracle Autonomous Health Framework, Essbase, Graph Server 등도 개별 패치 포함
- Qualys QID 취약점 탐지 항목
- Qualys는 이번 패치와 관련된 QID 11종을 공개함 (예: Oracle Coherence, MySQL, Java SE, WebLogic 등)
- 각 QID는 오라클의 보안 공지와 연동되어 자동화된 탐지 및 대응이 가능함
- 오라클의 보안 권고 사항
- 가능한 모든 고객에게 즉시 보안 패치 적용을 권고
- 패치가 어려운 환경에서는 네트워크 프로토콜 차단, 사용자 권한 제한 등의 임시 대응책 제시
- HTTP 등 일반 프로토콜에 취약점이 발견된 경우 HTTPS 등 보안 프로토콜도 영향을 받을 수 있으므로 광범위한 적용이 필요
- 패치는 Premier 또는 Extended Support 범위 내 제품에만 제공되므로, 지원 종료 제품은 업그레이드 필요
- 결론
- 오라클의 2025년 4월 보안 패치는 역대 최대 수준의 규모로 구성되었으며, 다양한 제품군에 걸쳐 심각한 원격 취약점이 포함됨
- 시스템 관리자 및 보안 담당자는 QID 탐지 기반 취약점 식별, 영향 범위 분석, 패치 적용 우선순위 수립 등의 절차를 신속히 수행해야 함
- 패치 적용이 불가능한 시스템에 대해서는 네트워크 기반의 대응책과 권한 최소화 정책을 적용하고, 향후 업데이트 가능한 아키텍처로의 전환을 검토할 필요가 있음
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Firefox와 Chrome의 고위험 브라우저 취약점 패치 동향 분석 (0) | 2025.05.28 |
|---|---|
| 윈도우 작업 스케줄러 취약점 분석 및 보안 시사점 (0) | 2025.05.28 |
| 애플 iOS 제로데이 취약점 발견 및 긴급 보안 패치 분석 (0) | 2025.05.28 |
| Gladinet CentreStack 취약점 CVE-2025-30406 분석 (0) | 2025.05.27 |
| NVIDIA Container Toolkit 및 Docker 취약점으로 인한 컨테이너 보안 위협 (0) | 2025.05.27 |