English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 16116
À§Çèµµ 40
Æ÷Æ® 2100
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù FTP
»ó¼¼¼³¸í ÇØ´ç Oracle 9i DatabaseÀÇ FTP ¼­¹öÀÇ ¹è³Ê Á¤º¸¿¡ µû¸£¸é ÇØ´ç ¼­¹ö¿¡´Â XDB¿¡ ÀÖ´Â ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡µéÀÌ Á¸ÀçÇÑ´Ù. Oracle9i Database Server Release 2´Â Oracle 9i XML Database (XDB) ¼­ºñ½ºµéÀÇ ÀÎÁõ Äڵ忡 ÀÖ´Â ½ºÅà ±â¹ÝÀÇ ´ÙÁßÀÇ ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡µé¿¡ Ãë¾àÇÏ´Ù. Oracle XDB´Â TCP Æ÷Æ® 8080 »ó¿¡¼­ÀÇ HTTP ±â¹ÝÀÇ ¼­ºñ½º³ª ȤÀº TCP Æ÷Æ® 2100 »ó¿¡¼­ÀÇ FTP ±â¹ÝÀÇ ¼­ºñ½º¸¦ ÅëÇØ ¾×¼¼½ºµÉ ¼ö ÀÖ´Ù. ¾ÆÁÖ ±ä »ç¿ëÀÚ¸íÀ̳ª Æнº¿öµå´Â HTTP ¹× FTP ¼­ºñ½ºµé µÑ ¸ðµÎ¿¡¼­ ½ºÅà ±â¹ÝÀÇ ¿À¹öÇ÷ο츦 ÀÏÀ¸Å²´Ù. ¿©±â¿¡ ´õÇÏ¿© FTP ¼­ºñ½º´Â FTP "TEST"¿Í "UNLOCK" ¸í·Éµé¿¡ ¾ÆÁÖ ±ä ÀμöµéÀ» °ø±ÞÇÔÀ¸·Î½á ¹öÆÛ ¿À¹öÇ÷ο쿡 Ãë¾àÇÏ´Ù. ÀÌ Ãë¾àÁ¡µéÀº ¿ø°ÝÁöÀÇ °ø°ÝÀÚ°¡ Oracle ¼­¹ö ÇÁ·Î¼¼½ºÀÇ ±ÇÇÑÀ» °¡Áö°í Oracle XDB°¡ ÀÛµ¿ÇÏ´Â ½Ã½ºÅÛ »ó¿¡ ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÏ°Ô ÇØ ÁÙ ¼ö ÀÖ´Ù.

* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç FTP ¼­¹öÀÇ ¹è³Ê Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼­ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.

* Âü°í »çÀÌÆ®:
http://www.oracle.com/technetwork/topics/security/2003alert58-128165.pdf
http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-litchfield-paper.pdf
http://www.symantec.com/avcenter/security/Content/8375.html

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
Oracle Oracle9i Database Server Release 2 (9.2.0.4 ÀÌÀüÀÇ 9.2.0.x ¹öÀüµé)
¸ðµç ¿î¿µÃ¼Á¦ ¸ðµç ¹öÀü
ÇØ°áÃ¥ ´ÙÀ½ Oracle Security Alert #58À» ÂüÁ¶ÇÏ¿© ½Ã½ºÅÛ¿¡ ÀûÀýÇÑ ÆÐÄ¡¸¦ Àû¿ëÇÏ¿©¾ß ÇÑ´Ù:
http://www.oracle.com/technetwork/topics/security/2003alert58-128165.pdf

ÀÌ ÆÐÄ¡µéÀº Oracle 9i Database 9.2.0.3 ¸±¸®Áîµé¿¡ ´ëÇؼ­¸¸ Àû¿ëÇÒ ¼ö ÀÖ´Ù.

-- ȤÀº --

ÇÊ¿äÇÏÁö ¾Ê´Ù¸é ¿µÇâÀ» ¹Þ´Â Á¦Ç°µé¿¡ ÀÖ´Â Oracle HTTP/FTP ¼­ºñ½ºµéÀ» »ç¿ë ÁßÁö½ÃŲ´Ù.

À§ÇèÀ» ÁÙÀÏ ¼ö ÀÖ´Â Àӽà Á¶Ä¡¹æ¹ýÀ¸·Î´Â ÀÎÅͳÝÀ¸·ÎºÎÅÍ Oracle XDB Æ÷Æ®µéÀÎ 8080/tcp ±×¸®°í 2100/tcp ¿¡ ´ëÇÑ ¾×¼¼½º¸¦ Â÷´ÜÇØ ³õÀ» ¼ö ÀÖ´Ù.
°ü·Ã URL CVE-2003-0727 (CVE)
°ü·Ã URL 8375 (SecurityFocus)
°ü·Ã URL 12949 (ISS)