D-21(상) 데이터베이스에 대해 최신 보안패치와 밴더 권고사항을 모두 적용

※ 해당 가이드는 2021년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : 최신 패치 및 벤더 권고사항 적용 여부 점검

○ 점검목적 : 정책에 따른 최신 보안패치 및 벤더 권고사항을 적용하여 데이터베이스의 보안성을 향상

○ 보안위협 : 데이터베이스의 주요 보안 패치 등을 설치하지 않은 경우, 공격자가 알려진 취약점을 이용하여 데이터베이스에 접근 가능

○ 점검대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등

○ 판단기준

- 양호 : 정책에 따른 버전별 최신 패치를 적용하고 내부적으로 관리 절차를 수립하여 이행하고 있는 경우

- 취약 : 정책에 따른 버전별 최신 패치를 적용하지 않거나 내부적으로 관리 절차를 수립하지 않은 경우

 

■ 점검방법 및 조치방안

○ Oracle

Step 1

ORACLE_HOME에 설치된 Oracle 제품 컴포넌트를 조회하거나, 적용된 임시 패치를 조회할 때는 Isinventory 명령어를 사용   - Oracle 제공 패치 명령을 이용하여 확인 $opatchlsinventory [ -all ] [ -detail ] [ -invPtrLoc ] [ -jre ] [ -oh ] all : ORACLE_BASE 밑에 설치된 모든 ORACLE_HOME 정보를 표시 detail : 설치된 패치 내에 포함된 라이브러리 파일까지 표시하므로 패치 적용 시 충돌되는 객체 파일을 확인 가능   ㆍUnix 시스템 $ORACLE_HOME/OPatch/opatchisinventory —detail   ㆍWindows 시스템 %ORACLE_HOME%\OPatch\opatchlsinventory -detail http://metalink.oracle.com에서 최신 패치 버전 확인 후 opatch 명령을 통해 도출 된 결과를 비교 - 버전이 9.2.0, 10.2.0, or 10.1.0이 아니면 아주 취약 - Oracle 10g Release 2의 patchset level이 10.2.0.1 이나 이후 버전이 아니면 취약 - Oracle 10g Release 1의 patchset level이 10.1.0.4이나 이후 버전이 아니면 취약 - Oracle 9i Release 2의 patchset level이 9.2.0.6이나 이후 버전이 아니면 취약 - Oracle 9.0이 Oracle 9iAS 또는 Oracle AS10g를 지원하기 위해 사용되면 취약

※ 참고 사이트

http://www.oracle.com/technetwork/database/enterprise-edition/downloads/index.html

○ MSSQL

DBMS 버전	적용 패치 버전
SQL Server 2019 CU #8	15.0.4073.23
SQL Server 2017 CU #22	14.0.3356.20
SQL Server 2016 SP2	13.0.5850.14
SQL Server 2016 SP1 CU #15	13.0.4574.0
SQL Server 2016 RTM CU #9	13.0.2218.0
SQL Server 2014 SP3 CU #4	12.0.6372.1
SQL Server 2014 SP2 CU #18	12.0.5687.1
SQL Server 2014 SP1 CU #13	12.0.4522.0
SQL Server 2012 SP4	11.0.7493.4
SQL Server 2012 SP3 CU #10	11.0.6607.3
SQL Server 2012 SP2 CU #16	11.0.5678.0
SQL Server 2012 SP1 CU #16	11.0.3482.0
SQL Server 2008 R2 SP2 CU #3	10.50.4319.00
SQL Server 2008 R2 SP1 CU #14	10.50.2881.00
SQL Server 2008 RTM CU #10	10.00.1835.00
SQL Server 2008 SP3 CU #17	10.00.5861.00
SQL Server 2008 SP2 CU #11	10.00.4333.00
SQL Server 2008 SP1 CU #16	10.00.2850.00
SQL Server 2005 SP4 CU#3	9.00.5266
SQL Server 2005 SP3 CU#15	9.00.4325
SQL Server 2005 SP2 CU#17	9.00.3356
SQL Server 2005 SP1	9.00.2047
SQL Server 2005 RTM	9.00.1399
SQL Server 2000 SP 4	8.00.2283
SQL Server 2000 SP 3	8.00.1007
SQL Server 2000 SP 2	8.00.534
SQL Server 2000 SP 1	8.00.384
SQL Server 2000 RTM	8.00.194

※ 참고 사이트

http://support.microsoft.com/kb/321185/en-us

○ MySQL

 - Enterprise Release

Version	Last Version
MySQL8.0	8.0.21
MySQL5.7	5.7.31
MySQL5.6	5.6.49
MySQL5.5	5.5.6
MySQL5.4	5.4.2
MySQL5.1	5.1.40
MySQL5.0	5.0.88

  ※ 참고 사이트

버그 패치 된 릴리즈 사이트 http://downloads.mysql.com/archives.php

버그 현황 사이트 http://bugs.mysql.com/bugstats.php

○ Altibase

Step 1	시스템에서 제품 버전 현황 확인   select * from v$database;
Step 2	Altibase 최신 패치 노트 확인 http://support.Altibase.com/kr/patch-note
Step 3	패키지 인스톨러를 이용한 제품 패치   ※ Altibase HDB는 제품 패치를 위한 설치 파일이 따로 존재하지 않는다. 인스톨러를 시작할 때 설치 형태를 풀(full) 패키지 또는 패치로 선택할 수 있다. Altibase 고객지원서비스 포털(http://support.Altibase.com/)을 방문하여 본인의 운영 체제에 적합한 인스톨러를 다운로드 받을 수 있음

○ Tibero

Step 1	시스템에서 제품 버전 현황 확인   tbboot -v
Step 2	Tibero 최신 패치 노트 확인   http://technet.tmaxsoft.com/

※ Tibero 패치 정책(2015.02)

매 분기 초 픽스셋 발표(년간 총 4회 배포/fixset: hot fix 모음)

○ PostgreSQL

DBMS 버전	적용패치버전
13	13.0
12	12.4
11	11.9
10	10.14
9.6	9.6.19
9.5	9.5.23

※ 참고 사이트

http://www.postgresql.org/support/security

 

 

■ 조치 시 영향

일반적으로 무관