CVE-2016-1202, CVE-2016-2331, CVE-2016-2332
CVE-2016-2333, CVE-2016-2346

[보안뉴스 문가용] 현지 시각으로 4월 25일, 우리나라 시간으로는 대략 25일에서 26일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-1202
Atom Electron 0.33.5 이전 버전에 있는 검색 경로 취약점으로 로컬의 사용자가 Node.js 모듈 트로이목마를 통해 부모 디렉토리 권한을 가져갈 수 있게 된다.

2. CVE-2016-2331
SysLINK SL-1000 Machine-to-Machine (M2M) Modular Gateway 기기의 웹 인터페이스에 있는 펌웨어 01A.8 이전 버전의 취약점으로 암호가 디폴트로 세팅되어 있다. 원격의 공격자가 쉽게 권한을 가져갈 수 있게 된다.

3. CVE-2016-2332
SysLINK SL-1000 Machine-to-Machine (M2M) Modular Gateway 기기의 웹 인터페이스에 있는 펌웨어 01A.8 이전 버전의 flu.cgi 취약점으로 원격에서 승인된 사용자가 5066 매개변수를 통하여 임의의 명령어를 실행할 수 있게 된다.

4. CVE-2016-2333
펌웨어 0.1A.8 이전 버전이 설치된 SysLINK SL-1000 Machine-to-Machine (M2M) Modular Gateway 기기의 취약점으로 다른 고객들의 기기들에 같은 하드코딩된 암호화 키를 사용한다. 이로써 공격자들이 암호화 방어 메커니즘을 쉽게 뚫을 수 있게 된다.

5. CVE-2016-2346
Allround Automations PL/SQL Developer 11.0.6 이전의 11 버전에 있는 취약점으로 확인되지 않은 HTTP 데이터를 업데이트에 활용한다. 이로써 중간자 공격을 통해 임의의 코드를 실행하는 것이 가능해진다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>