CVE-2016-3139, CVE-2016-3156, CVE-2016-3672
CVE-2016-0211, CVE-2016-1205

[보안뉴스 문가용] 현지 시각으로 4월 27일, 우리나라 시간으로는 대략 27일에서 28일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-3139
리눅스 커널 3.17 이전 버전의 drivers/input/tablet/wacom_sys.c 내 wacom_probe 함수에 있는 취약점으로 물리적으로 가까이 있는 공격자가 조작된 엔드포인트 값을 통해 DoS 공격을 할 수 있게 해준다.

2. CVE-2016-3156
리눅스 커널 4.5.2 이전 버전의 IPv4의 취약점으로 기기 객체의 파손을 제대로 처리하지 않는다. 그래서 게스트 OS 사용자가 IP 주소를 크게 만드는 방식으로 DoS 공격을 할 수 있게 된다.

3. CVE-2016-3672
리눅스 커널 4.5.2 버전의 arch/x86/mm/mmap.c 내 arch_pick_mmap_layout 함수에 있는 취약점으로 베이스 주소를 제대로 랜덤화하지 않는다. 이로써 로컬의 사용자가 스택 소비 리소스 제한을 비활성화시켜 여러 보호 및 보안 장치를 우회할 수 있게 된다.

4. CVE-2016-0211
리눅스, 유닉스, 윈도우용 IBM DB2 9.7~FP11, 9.8, 10.1~FP5, 10.5~FP7 버전에 있는 취약점으로 원격에서 인증된 사용자가 조작된 DRDA 메시지르르 통해 DoS 공격을 할 수 있게 된다.

5. CVE-2016-1205
shiro8의 category_freearea_ addition_plugin plugin 1.0과 EC-CUBE용 itemdetail_freearea_ addition_plugin plugin 1.0에 있는 XSS 취약점으로 원격의 공격자가 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>