CVE-2016-1288, CVE-2016-1356, CVE-2016-1357
CVE-2016-1358, CVE-2016-1359


[보안뉴스 문가용] 현지 시각으로 3월 3일, 우리나라 시간으로는 대략 3일에서 4일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2016-1288
Web Security Appliance의 시스코 AsyncOS 8.5.3-051 이전 버전, 9.0.0-485 이전의 9.x 버전에 있는 HTTPS Proxy 기능에 있는 취약점으로 원격의 공격자가 특정 인트라넷 연결성 및 악성 HTTPS 요청을 조작해 DoS 공격을 감행할 수 있도록 해준다. Bug ID CSCuu24840과 동일하다.

2. CVE-2016-1356
시스코 FireSIGHT System Software 6.1.0에 있는 취약점으로 로그인 정보를 확인할 때 일정 시간 알고리즘을 사용하지 않는다. 이로써 원격의 공격자들이 타이밍 차이를 측정해 실제 존재하는 사용자 이름을 취득할 수 있게 된다. Bug ID CSCuy41615와 동일하다.

3. CVE-2016-1357
시스코 Policy Suite 7.0.1.3, 7.0.2, 7.0.2-att, 7.0.3-att, 7.0.4-att, 7.5.0 버전에 있는 암호 관리 및 관리자 요소의 취약점으로 원격의 공격자가 RBAC 제한 장치를 우회해 특정 데이터를 읽어 들일 수 있게 해준다. Bug ID CSCut85211과 동일하다.

4. CVE-2016-1358
시스코 Prime Infrastructure 2.2, 3.0, 3.1(0.0) 버전에 있는 취약점으로 원격에서 승인된 사용자가 임의의 파일을 읽어 들이거나 DoS 공격을 할 수 있게 해준다. XML External Entity 문제와 연관이 있는 취약점이며 Bug ID CSCuw81497과 동일하다.

5. CVE-2016-1359
시스코 Prime Infrastructure 3.0 버전에 있는 취약점으로 원격에서 승인된 사용자가 조작된 HTTP 요청을 통해 임의의 코드를 실행할 수 있게 해준다. Bug ID CSCuw81494와 동일하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>