오라클, 2025년 1월 패치로 318개의 취약점 해결

Oracle Releases January 2025 Patch to Address 318 Flaws Across Major Products

 

• 패치 업데이트 개요
  • 318개의 취약점: 오라클은 2025년 1월 Critical Patch Update(CPU)를 발표하며, 주요 제품 및 서비스에서 318개의 보안 결함을 해결
  • 심각한 취약점: 가장 심각한 취약점은 오라클 애자일 PLM 프레임워크의 9.9 CVSS 점수를 가진 취약점으로, 원격 공격자가 취약한 시스템을 제어할 수 있게 해줌
• 주요 취약점
  • 오라클 애자일 PLM 프레임워크 (CVE-2025-21556)
    • CVSS 점수: 9.9
    • 악용 가능성: 네트워크를 통한 HTTP 접속으로 낮은 권한의 공격자가 쉽게 악용 가능
    • 추가 사항: 오라클은 CVE-2024-21287 (CVSS 점수 7.5)도 패치했으며, 이는 2024년 11월에 실제로 악용된 바 있음
  • 오라클 WebLogic 서버 (CVE-2025-21535)
    • CVSS 점수: 9.8
    • 악용 가능성: IIOP 또는 T3를 통한 네트워크 접속으로 인증되지 않은 공격자가 악용 가능
  • 오라클 커뮤니케이션 결제 시스템 (CVE-2024-37371)
    • CVSS 점수: 9.1
    • 악용 가능성: Kerberos 5에서 메시지 토큰을 악용해 잘못된 메모리 읽기를 유도할 수 있음
  • 기타 주요 취약점
    • CVE-2023-3961: JD Edwards EnterpriseOne Tools
    • CVE-2023-46604: Oracle Communications Diameter Signaling Router
    • CVE-2024-45492: XML 파서 취약점
    • CVE-2024-56337: Apache Tomcat 서버 취약점
    • CVE-2023-29824: Oracle Business Intelligence Enterprise Edition
• 오라클 리눅스 업데이트
  • 오라클은 285개의 보안 패치를 포함하는 오라클 리눅스 업데이트를 발표하며 다양한 구성 요소의 취약점을 해결
  • 권고 사항: 사용자들은 시스템을 안전하게 유지하기 위해 반드시 해당 패치를 적용해야 함
• 보안 권고
  • 즉시 패치 적용: 리스크를 완화하고 오라클 시스템의 무결성을 보장하기 위해 패치를 적용할 것
  • 악용 감시: CVE-2020-2883 (Oracle WebLogic 서버)와 같은 취약점이 실제로 악용되고 있으므로, 이에 대한 감시가 필요