CVE-2015-6390, CVE-2015-6383, CVE-2015-8024
[보안뉴스 문가용] 현지 시각으로 12월 2일, 우리나라 시간으로는 대략 2일에서 3일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.
1. CVE-2015-6390
시스코 Unity Connection 9.1(1.10)의 관리 인터페이스에서 발견된 XSS 취약점으로, 이를 악용할 경우 원격에서 공격자가 임의의 웹 스크립트나 HTML을 주입할 수 있다. Bug ID CSCup92741과 같은 취약점이다.
2. CVE-2015-6383
ASR 1000 기기들에 탑재되어 있는 시스코 IOS XE 14.4(3)S에서 소프트웨어 패키지를 비정상적으로 로딩되는 경우 로컬 사용자가 라이선스 제한을 우회해서 특정 관리자 권한을 얻는 게 가능해진다. Bug ID CSCuv93130과 동일한 취약점이다.
3. CVE-2015-8024
맥아피의 Enterprise Security Manager, Enterprise Security Manager/Log Manager, Enterprise Security Manager/Receiver 9.3.2MR19 이전의 9.3.x 버전, 9.4.2MR9 이전의 9.4.x 버전, 9.5.0MR8 이전의 9.5.x 버전에 있는 취약점으로 액티브 디렉토리나 LDAP 인증 소스를 사용할 수 있도록 설정했을 때 NGCP|NGCP|NGCP로 로그인하면 원격에서 인증 과정을 우회할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] 현지 시각으로 12월 2일, 우리나라 시간으로는 대략 2일에서 3일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.
1. CVE-2015-6390
시스코 Unity Connection 9.1(1.10)의 관리 인터페이스에서 발견된 XSS 취약점으로, 이를 악용할 경우 원격에서 공격자가 임의의 웹 스크립트나 HTML을 주입할 수 있다. Bug ID CSCup92741과 같은 취약점이다.
2. CVE-2015-6383
ASR 1000 기기들에 탑재되어 있는 시스코 IOS XE 14.4(3)S에서 소프트웨어 패키지를 비정상적으로 로딩되는 경우 로컬 사용자가 라이선스 제한을 우회해서 특정 관리자 권한을 얻는 게 가능해진다. Bug ID CSCuv93130과 동일한 취약점이다.
3. CVE-2015-8024
맥아피의 Enterprise Security Manager, Enterprise Security Manager/Log Manager, Enterprise Security Manager/Receiver 9.3.2MR19 이전의 9.3.x 버전, 9.4.2MR9 이전의 9.4.x 버전, 9.5.0MR8 이전의 9.5.x 버전에 있는 취약점으로 액티브 디렉토리나 LDAP 인증 소스를 사용할 수 있도록 설정했을 때 NGCP|NGCP|NGCP로 로그인하면 원격에서 인증 과정을 우회할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
