CVE-2016-1789, CVE-2016-1177, CVE-2016-2000
CVE-2016-3125, CVE-2016-3118

[보안뉴스 문가용] 현지 시각으로 4월 5일, 우리나라 시간으로는 대략 5일에서 6일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-1789
애플의 iBooks Author 2.4.1 이전 버전에 있는 취약점으로 원격의 공격자가 XML External Entity 문제와 관련이 있는 entity declaration을 포함한 XML을 내포하고 있는 iBooks Author 파일을 통해 임의의 파일을 읽어 들일 수 있게 된다.

2. CVE-2016-1177
Falcon WisePoint 4.3.1 및 이전 버전과 WisePoint Authenticator 4.1.19.22 및 이전 버전의 관리 화면에 있는 취약점으로 원격의 공격자가 클릭재킹 공격을 할 수 있게 해준다.

3. CVE-2016-2000
HPE Asset Manager 9.40, 9.41, 9.51 버전과 Asset Manager CloudSystem Chargeback 9.40에 있는 취약점으로 원격의 공격자가 조작된 자바 객체를 통하여 임의의 명령을 실행할 수 있게 해준다. Apache Commons Collections 라이브러리와 관련이 있다.

4. CVE-2016-3125
ProFTPD 1.3.5b와 1.3.6rc2 이전의 1.3.6 버전에 있는 취약점으로 TLSDHParamFile directive를 올바르게 처리하지 않는다. Diffie-Hellman 키가 의도된 것보다 약하게 형성될 수 있으며 이로써 공격자들의 공격이 용이해질 수 있다.

5. CVE-2016-3118
CA API Gateway 7.1.04 이전의 7.1 버전, 8.3.01 이전의 8.3 버전, 8.4.01 이전의 8.4 버전에 있는 CRLF 인젝션 취약점으로 원격의 공격자들의 공격을 가능하게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>