CVE-2016-1609, CVE-2016-1610, CVE-2016-1611
CVE-2016-2180, CVE-2016-3120

[보안뉴스 문가용] 현지 시각으로 7월 31일, 우리나라 시간으로는 대략 31일에서 8월 1일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-1609
Novell Filr Security Update 3 이전의 1.2 버전과 Security Update 2 이전의 2.0 버전의 XSS 취약점으로 원격에서 승인된 사용자가 임의의 웹 스크립트나 HTML을 주입할 수 있게 해준다.

2. CVE-2016-1610
Novell Filr Security Update 3 이전의 1.2 버전과 Security Update 2 이전의 2.0 버전의 이메일 템플릿 기능의 directory traversal 취약점으로 원격의 공격자가 의도된 접근 제어 기능을 우회해 임의의 파일을 작성할 수 있게 해준다.

3. CVE-2016-1611
Novell Filr Hot Patch 6 이전의 1.2 버전과 Hot Patch 2 이전의 2.0 버전의 취약점으로 /etc/profile.d/vainit.sh의 퍼미션 레벨이 매우 낮다. 이로써 로컬 사용자가 높은 권한을 취득하는 게 가능해진다.

4. CVE-2016-2180
X.509 Public Key Infrastructure Time-Stamp Protocol의 crypto/ts/ts_lib.c의 TS_OBJ_print_bio 함수에 있는 취약점으로 원격의 공격자가 조작된 time stamp 파일을 통해 DoS 공격을 할 수 있게 해준다.

5. CVE-2016-3120
MIT Kerberos 5 1.13.6 이전 버전과 1.14.3 이전의 1.4.x의 Key Distribution Center의 kdc_util.c의 validate_as_request 함수에 있는 취약점으로 restrict_anonymous_to_tgt가 활성화되었을 때 올바르지 않은 클라이언트 데이터 구조를 사용한다. 이로써 원격에서 승인된 사용자가 DoS 공격을 감행할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>