[인터넷보호나라 KrCERT 보안공지] Atlassian 및 Oracle, GNU 제품 보안 주의 권고
2024년 02월 02일
□ 개요 o Atlassian社, Oracle社의 제품 및 GNU Bash Shell에서 발생하는 취약점에 대한 주의 권고 [1] [2] [3]
o 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 보안 조치 권고
□ 설명 o Atlassian의 Confluence Data Center 및 Server에서 악의적인 코드를 삽입해 발생하는 원격 코드 실행(RCE) 취약점(CVE-2023-22527) [1] o Oracle의 WebLogic Server에서 XML 디코드 처리 미흡으로 발생하는 원격 코드 실행(RCE) 취약점(CVE-2017-3506) [2]] o GNU Bash Shell의 환경변수에 악의적인 코드를 삽입해 발생하는 원격 코드 실행(RCE) 취약점(CVE-2014-6271) [3]
□ 영향받는 제품 및 해결 방안
취약점
제품명
영향받는 버전
해결 버전
CVE-2023-22527
Confluence Data Center and Server
8.0.x
8.1.x
8.2.x
8.3.x
8.4.x
8.5.0 ~ 8.5.3
8.5.4 (LTS) 이상
Confluence Data Center
8.5.4 (LTS) 이상
8.6.0 이상
8.7.1 이상
CVE-2017-3506
Oracle WebLogic Server
10.3.6.0
12.1.3.0
12.2.1.0
12.2.1.1
12.2.1.2
2017.10 Oracle Critical 패치 및 해당 버전 이상의 보안 업데이트 진행
CVE-2014-6271
GNU Bash
1.14.0 ~ 1.14.7
2.0 ~ 2.05
3.0 ~ 3.0.16
3.1 ~ 3.2.48
4.0 ~ 4.3
Red Hat Enterprise Linux 4,5,6,7 업데이트
* EOS된 버전을 사용할 경우, 최신 버전의 보안업데이트를 이용하거나 최신 운영체제로 업데이트 권고
