CVE-2016-0757, CVE-2016-0787, CVE-2016-2313
CVE-2016-1352, CVE-2016-1378

[보안뉴스 문가용] 현지 시각으로 4월 13일, 우리나라 시간으로는 대략 13일에서 14일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-0757
OpenStack Image Service 2015.1.3(kilo) 이전 버전과 11.0.2(liberty) 이전의 11.0.x 버전에 있는 취약점으로 show_multiple_locations을 활성화시키면 원격에서 승인된 사용자가 이미지의 마지막 위치를 삭제함으로써 이미지 상태를 조작하고 새로운 이미지 데이터를 업로드 시킬 수 있게 된다.

2. CVE-2016-0787
libssh2 1.7.0 이전 버전의 kex.c 내에 있는 diffie_hellman_sha256 함수에 있는 취약점으로 128비트와 256비트 turncate 기능이 제대로 작동하지 않는다. 이로써 중간자 공격이 쉽게 가능해지며 암호화 기술을 무용지물로 만든다. bits/bytes confusion 버그로도 알려져 있다.

3. CVE-2016-2313
Cacti 0.8.8g 이전 버전에 있는 auth_login.php의 취약점으로 원격에서 승인된 사용자가 다른 사용자 정보로 접속을 시도하여 접근 제한 기능을 우회할 수 있게 해준다.

4. CVE-2016-1352
시스코의 Unified Computing System(UCS) Central Software 1.3(1b) 혹은 그 이전 버전에 있는 취약점으로 원격의 공격자가 임의의 OS 명령어를 조작된 HTTP 요청을 통하여 실행할 수 있게 해준다. Bug ID CSCuv33856과 동일하다.

5. CVE-2016-1378
Catalyst 스위치의 시스코 IOS 15.2(2)E1 이전 버전에 있는 취약점으로 원격의 공격자가 민감한 소프트웨어 버전 정보를 Network Mobility Service Protocol 포트를 통하여 취득할 수 있게 해준다. Bug ID CSCum62591과 동일하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>