D-25: 주기적 보안 패치 및 벤더 권고 사항 적용
분류: DBMS
중요도: 상
개요
점검 내용
안전한 버전의 데이터베이스를 사용하고 있는지 점검
점검 목적
안전한 버전의 데이터베이스를 사용하여 알려진 보안 취약점으로 인한 공격을 차단하기 위함
보안 위협
안전하지 않은 버전을 사용할 경우, 알려진 보안 취약점을 통해 시스템에 침투하거나 데이터의 탈취, 악성코드 감염 및 서비스 중단 등의 보안 사고를 초래할 위험이 존재함
참고
-
점검 대상 및 판단 기준
대상
Oracle DB, MSSQL, MySQL, Altibase, Tibero, PostgreSQL, Cubrid 등
판단 기준
✅ 양호: 보안 패치가 적용된 버전을 사용하는 경우
❌ 취약: 보안 패치가 적용되지 않는 버전을 사용하는 경우
조치 방법
보안 패치가 적용된 버전으로 업데이트
조치 시 영향
기존 시스템 운영 등에 사용되던 시스템 구성 요소와 호환성 문제가 발생할 수 있음
점검 및 조치 사례
Oracle DB
Step 1) 시스템에서 제품 버전 현황 확인(SQL*Plus)
Step 2) Oracle 최신 버전 확인
http://www.oracle.com/technetwork/database/enterprise-edition/downloads/index.html
MSSQL
Step 1) 시스템에서 제품 버전 현황 확인
SELECT @@version
-- 또는
SELECT SERVERPROPERTY('productversion') AS ProductVersion, SERVERPROPERTY('productlevel') AS ProductLevel, SERVERPROPERTY('edition') AS Edition;
Step 2) MSSQL 최신 버전 확인
http://support.microsoft.com/kb/321185/en-uswnloads/index.html
MySQL
Step 1) 시스템에서 제품 버전 현황 확인
Step 2) MySQL 최신 버전 확인
버그 패치된 릴리즈 사이트 http://downloads.mysql.com/archives.php
Altibase
Step 1) 시스템에서 제품 버전 현황 확인
Step 2) Altibase 최신 패치 노트 확인
http://support.Altibase.com/kr/patch-note
Step 3) 패키지 인스톨러를 이용한 제품 패치
- Altibase HDB 는 제품 패치를 위한 설치 파일이 따로 존재하지 않으며, 인스톨러를 시작할 때 설치 형태를 풀(full) 패키지 또는 패치로 선택할 수 있음
- Altibase 고객지원서비스 포털 (http://support.Altibase.com/)을 방문하여 본인의 운영체제에 적합한 인스톨러를 다운로드 받을 수 있음
Tibero
Step 1) 시스템에서 제품 버전 현황 확인
Step 2) Tibero 최신 패치 노트 확인
http://technet.tmaxsoft.com/
Tibero 패치 정책 (2015.02)
매 분기 초 픽스셋 발표(년간 총 4회 배포 / fixset : hot fix 모음)
PostgreSQL
Step 1) 시스템에서 제품 버전 현황 확인
Step 2) PostgreSQL 최신 버전 확인
http://www.postgresql.org/support/security
Cubrid
Step 1) 시스템에서 제품 버전 현황 확인
Step 2) Cubrid 최신 버전 확인
패치된 릴리즈 확인 및 다운로드 https://cubrid.com/release_note/