취약점 진단 가이드/DBMS 취약점 진단 가이드

D-21(상) 데이터베이스에 대해 최신 보안패치와 밴더 권고사항을 모두 적용

H.J.World 2021. 8. 4. 10:10
728x90
반응형

※ 해당 가이드는 2021년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.


주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : 최신 패치 및 벤더 권고사항 적용 여부 점검

○ 점검목적 : 정책에 따른 최신 보안패치 및 벤더 권고사항을 적용하여 데이터베이스의 보안성을 향상

○ 보안위협 : 데이터베이스의 주요 보안 패치 등을 설치하지 않은 경우, 공격자가 알려진 취약점을 이용하여 데이터베이스에 접근 가능

○ 점검대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL

○ 판단기준

- 양호 : 정책에 따른 버전별 최신 패치를 적용하고 내부적으로 관리 절차를 수립하여 이행하고 있는 경우

- 취약 : 정책에 따른 버전별 최신 패치를 적용하지 않거나 내부적으로 관리 절차를 수립하지 않은 경우

 

■ 점검방법 및 조치방안

Oracle

Step 1 ORACLE_HOME에 설치된 Oracle 제품 컴포넌트를 조회하거나, 적용된 임시 패치를 조회할 때는 Isinventory 명령어를 사용
 
- Oracle 제공 패치 명령을 이용하여 확인
$opatchlsinventory [ -all ] [ -detail ]
[ -invPtrLoc ]
[ -jre ] [ -oh ]
all : ORACLE_BASE 밑에 설치된 모든 ORACLE_HOME 정보를 표시
detail : 설치된 패치 내에 포함된 라이브러리 파일까지 표시하므로 패치 적용 시 충돌되는 객체 파일을 확인 가능
 
Unix 시스템
$ORACLE_HOME/OPatch/opatchisinventory detail
 
Windows 시스템
%ORACLE_HOME%\OPatch\opatchlsinventory -detail
http://metalink.oracle.com에서 최신 패치 버전 확인 후 opatch 명령을 통해 도출
된 결과를 비교
- 버전이 9.2.0, 10.2.0, or 10.1.0이 아니면 아주 취약
- Oracle 10g Release 2patchset level10.2.0.1 이나 이후 버전이 아니면 취약
- Oracle 10g Release 1patchset level10.1.0.4이나 이후 버전이 아니면 취약
- Oracle 9i Release 2patchset level9.2.0.6이나 이후 버전이 아니면 취약
- Oracle 9.0Oracle 9iAS 또는 Oracle AS10g를 지원하기 위해 사용되면 취약
 

참고 사이트

http://www.oracle.com/technetwork/database/enterprise-edition/downloads/index.html

○ MSSQL

DBMS 버전 적용 패치 버전
SQL Server 2019 CU #8 15.0.4073.23
SQL Server 2017 CU #22 14.0.3356.20
SQL Server 2016 SP2 13.0.5850.14
SQL Server 2016 SP1 CU #15 13.0.4574.0
SQL Server 2016 RTM CU #9 13.0.2218.0
SQL Server 2014 SP3 CU #4 12.0.6372.1
SQL Server 2014 SP2 CU #18 12.0.5687.1
SQL Server 2014 SP1 CU #13 12.0.4522.0
SQL Server 2012 SP4 11.0.7493.4
SQL Server 2012 SP3 CU #10 11.0.6607.3
SQL Server 2012 SP2 CU #16 11.0.5678.0
SQL Server 2012 SP1 CU #16 11.0.3482.0
SQL Server 2008 R2 SP2 CU #3 10.50.4319.00
SQL Server 2008 R2 SP1 CU #14 10.50.2881.00
SQL Server 2008 RTM CU #10 10.00.1835.00
SQL Server 2008 SP3 CU #17 10.00.5861.00
SQL Server 2008 SP2 CU #11 10.00.4333.00
SQL Server 2008 SP1 CU #16 10.00.2850.00
SQL Server 2005 SP4 CU#3 9.00.5266
SQL Server 2005 SP3 CU#15 9.00.4325
SQL Server 2005 SP2 CU#17 9.00.3356
SQL Server 2005 SP1 9.00.2047
SQL Server 2005 RTM 9.00.1399
SQL Server 2000 SP 4 8.00.2283
SQL Server 2000 SP 3 8.00.1007
SQL Server 2000 SP 2 8.00.534
SQL Server 2000 SP 1 8.00.384
SQL Server 2000 RTM 8.00.194

참고 사이트

http://support.microsoft.com/kb/321185/en-us

○ MySQL

 - Enterprise Release

Version Last Version
MySQL8.0 8.0.21
MySQL5.7 5.7.31
MySQL5.6 5.6.49
MySQL5.5 5.5.6
MySQL5.4 5.4.2
MySQL5.1 5.1.40
MySQL5.0 5.0.88

  참고 사이트

버그 패치 된 릴리즈 사이트 http://downloads.mysql.com/archives.php

버그 현황 사이트 http://bugs.mysql.com/bugstats.php

○ Altibase

Step 1 시스템에서 제품 버전 현황 확인
 
select * from v$database;
Step 2 Altibase 최신 패치 노트 확인


http://support.Altibase.com/kr/patch-note
Step 3 패키지 인스톨러를 이용한 제품 패치
 
Altibase HDB는 제품 패치를 위한 설치 파일이 따로 존재하지 않는다. 인스톨러를 시작할 때 설치 형태를 풀(full) 패키지 또는 패치로 선택할 수 있다. Altibase 고객지원서비스 포털(http://support.Altibase.com/)을 방문하여 본인의 운영 체제에 적합한 인스톨러를 다운로드 받을 수 있음

○ Tibero

Step 1 시스템에서 제품 버전 현황 확인
 
tbboot -v
Step 2 Tibero 최신 패치 노트 확인
 
http://technet.tmaxsoft.com/

Tibero 패치 정책(2015.02)

매 분기 초 픽스셋 발표(년간 총 4회 배포/fixset: hot fix 모음)

○ PostgreSQL

DBMS 버전 적용패치버전
13 13.0
12 12.4
11 11.9
10 10.14
9.6 9.6.19
9.5 9.5.23

참고 사이트

http://www.postgresql.org/support/security

 

 

■ 조치 시 영향

일반적으로 무관

 

728x90
반응형