D-23 보안에 취약하지 않은 버전의 데이터베이스를 사용
■ 점검영역 : 패치관리
■ 항목 중요도 : 중
■ 점검내용
안전한 버전의 데이터베이스를 사용하고 있는지 점검
■ 점검목적
안전한 버전의 데이터베이스를 사용하여 알려진 보안 취약점으로 인한 공격을 차단하기 위함
■ 보안위협
안전하지 않는 버전을 사용할 경우, 공격자가 시스템 권한 획득 등을 할 수 있는 취약점이 존재함
■ 참고
-
점검대상 및 판단기준(데이터베이스/dbms 취약점 진단)
■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등
양호
보안 패치가 적용된 버전을 사용하는 경우
취약
보안 패치가 적용되지 않는 버전을 사용하는 경우
■ 조치방법
보안패치가 적용된 버전으로 업데이트
점검 및 조치 방법(oracle, mssql, mysql 등)
■ Oracle
Step 1) 버전 확인(SQL*Plus)
SQL> select * banner from v$version where banner like 'Oracle%';
Step 2) Oracle 최신 버전 확인
http://www.oracle.com/technetwork/database/enterprise-edition/downloads/index.html
■ MSSQL
Step 1) 시스템에서 제품 버전 현황 확인
확인방법 1) SELECT@@version
확인방법 2) SELECT SERVERPROPERTY(‘productversion’),
SERVERPROPERTY(‘productlevel’), SERVERPROPERTY(‘edition’)
※ 출력 예시
productversion | productlevel | edition |
10.50.1600.1 | RTM | Standard Edition (64-bit) |
Step 2) MSSQL 최신 버전 확인
http://support.microsoft.com/kb/321185/en-us
■ MySQL
Step 1) 시스템에서 제품 버전 현황 확인
mysql> SELECT VERSION();
Step 2) MySQL 최신 버전 확인
버그 패치 된 릴리즈 사이트 http://downloads.mysql.com/archives.php
■ Altibase
Step 1) 시스템에서 제품 버전 현황 확인
select * from v$database;
Step 2) Altibase 최신 패치 노트 확인
http://support.Altibase.com/kr/patch-note
STEP 3) 패키지 인스톨러를 이용한 제품 패치
Altibase HDB 는 제품 패치를 위한 설치 파일이 따로 존재하지 않으며, 인스톨러를 시작할 때 설치 형태를 풀(full) 패키지 또는 패치로 선택할 수 있음
Altibase 고객지원서비스 포털 (http://support.Altibase.com/)을 방문하여 본인의 운영 체제에 적합한 인스톨러를 다운로드 받을 수 있음
■ Tibero
Step 1) 시스템에서 제품 버전 현황 확인
tbboot –v
Step 2) Tibero 최신 패치 노트 확인
http://technet.tmaxsoft.com/
※ Tibero 패치 정책 (2015.02)
매 분기 초 픽스셋 발표(년간 총 4회 배포 / fixset: hot fix 모음)
■ PostgreSQL
Step 1) 시스템에서 제품 버전 현황 확인
SELECT VERSION();
Step 2) PostgreSQL 최신 버전 확인
http://www.postgresql.org/support/security
■ 조치 시 영향 : 일반적인 경우 영향 없음