CVE-2016-4373, CVE-2016-4834, CVE-2016-4837
CVE-2016-5138, CVE-2016-5672

[보안뉴스 문가용] 현지 시각으로 7월 31일, 우리나라 시간으로는 대략 31일에서 8월 1일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-4373
리눅스, 유닉스, 솔라리스용 HPE Operations Manager 9.21.130 이전 버전의 AdminUI에 있는 취약점으로 원격의 공격자들이 조작된 자바 객체를 통하여 임의의 명령을 실행할 수 있게 해준다. Apache Commons Collections 라이브러리와 관계가 있다.

2. CVE-2016-4834
Vtiger CRM 6.4.0 및 이전 버전의 modules/Users/actions/Save.php에 있는 취약점으로 사용자의 저장 행위를 정확하게 제한하지 않는다. 이로써 원격에서 승인된 사용자가 사용자 계정을 만들거나 수정할 수 있게 된다.

3. CVE-2016-4837
Seed Coupon 플러그인 1.6 이전 버전에 있는 SQL 인젝션 취약점으로 원격의 공격자가 임의의 SQL 명령을 실행할 수 있게 해준다.

4. CVE-2016-5138
구글 크롬 52.0.2743.85 이전 버전의 midgard/mali_kbase_vinstr.c의 kbasep_vinstr_attach_client 함수에 있는 정수 오버플로우 취약점으로 원격의 공격자가 DoS 공격을 할 수 있게 해준다.

5. CVE-2016-5672
Intel Crosswalk 19.49.514.5 이전 버전, 20.50.533.11 이전의 20.x 버전, 21.51.546.0 이전의 21.x 버전, 22.51.549.0 이전의 22.x 버전에 있는 취약점으로 부적절한 X.509 인증서에 대한 사용자 승인을 적절히 처리하지 못한다. 이로써 SSL 서버 스푸핑을 통한 중간자 공격이 매우 쉬워진다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>