CVE-2016-2304, CVE-2016-2305, CVE-2016-2306
CVE-2016-2354, CVE-2016-3145

[보안뉴스 문가용] 현지 시각으로 4월 21일, 우리나라 시간으로는 대략 21일에서 22일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-2304
Ecava IntegraXor 5.0 이전 버전에 있는 취약점으로 Set-Cookie 헤더에 HTTPOnly 플래그를 포함하고 있지 않다. 이 때문에 원격의 공격자가 스트립트 접근을 통해 민감한 정보를 취득할 수 있게 된다.

2. CVE-2016-2305
Ecava IntegraXor 5.0 이전 버전에 있는 XSS 취약점으로 원격의 공격자가 조작된 URL을 통해 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해준다.

3. CVE-2016-2306
Ecava IntegraXor 5.0 이전 버전의 HMI 웹 서버 취약점으로 원격의 공격자가 네트워크를 스니핑 해서 민감한 평문 정보를 취득할 수 있게 해준다.

4. CVE-2016-2354
Lemur Vehicle Monitors BlueDriver 2016-04-07 이전의 Bluetooth 기능의 취약점으로 PIN 정보 없이도 페어링을 가능하게 해준다. 이로써 공격자들이 차량 근처나 안에서 임의의 CAN 명령들을 보낼 수 있게 된다.

5. CVE-2016-3145
ATL 펌웨어 ATL.021.063 이전 버전, CB 펌웨어 CB.021.063 이전 버전, PP 펌웨어 PP.021.063 이전 버전, YK 펌웨어 YK.021.063 이전 버전이 설치된 Lexmark 프린터의 취약점으로 Erase Printer Memory와 Erase Hard Disk 액션을 잘못 처리한다. 이로써 물리적으로 가까운 공격자들이 민감한 정보를 취득할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>