CVE-2015-2924, CVE-2015-7897, CVE-2015-7816
CVE-2015-7815, CVE-2015-7712

[보안뉴스 주소형] 현지 시각으로 11월 16일, 우리나라 시간으로는 대략 16일에서 17일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.



1. CVE-2015-2924
NetworkManager 1.x 버전 IPv6 스텍 및 Neighbor Discovery(ND) 프로토콜 실행의 receive_ra 기능에서 발견된 취약점으로 공격자가 원격에서 Router Advertisement(RA) 메시지안의 small hop_limit 값을 통해 hop-limit 설정을 변경할 수 있습니다.

2. CVE-2015-7897
Samsung Galaxy S6 Edge G925VVRU4B0G9 이전 버전의 android.media.process에서 발견된 미디어 스캐닝 취약점으로 공격자가 원격에서 조작된 BMP 이미지 파일을 통해 특권을 탈취하거나 서비스 거부를 할 수 있습니다.

3. CVE-2015-7816
Piwik 2.15.0 이전 버전의 DisplayTopKeywords 기능에서 발견된 취약점으로 공격자가 원격에서 조작된 HTTP 헤더를 통해 PHP 삽입 공격 및 SSRF 공격을 실행할 수 있습니다.

4. CVE-2015-7815
Piwik 2.15.0 이전 버전 안의 core/ViewDataTable/Factory.php에서 발견된 디렉터리 접근공격 취약점으로 공격자가 원격에서 viewDataTable 매개변수를 통해 임의의 로컬 파일을 실행할 수 있습니다.

5. CVE-2015-7712
ATutor 2.2 이전 버전의 mods/_standard/gradebook/edit_marks.php에서 발견된 다수의 eval 삽입 취약점으로 인증된 사용자가 원격에서 1) asc 2) desc 매개변수를 통해 AT_PRIV_GRADEBOOK 권한을 가지고 임의의 PHP 코드를 실행할 수 있습니다.
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>