CVE-2015-8317, CVE-2015-8377, CVE-2015-8570
CVE-2015-8571, CVE-2015-8572

[보안뉴스 문가용] 현지 시각으로 12월 15일, 우리나라 시간으로는 대략 15일에서 16일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



CVE-2015-8317
libxml2 2.9.3 이전 버전의 parser.c 내에 있는 xmlParseXMLDecl 함수에 있는 취약점으로 컨텍스트 정보에 민감한 공격자들이 (1) 종료되지 않은 인코딩 값이나 (2) 불완전한 XML declaration을 통해 민감한 정보를 훔쳐낼 수 있게 해준다.

CVE-2015-8377
Cacti 0.8.8f 및 그 이전 버전의 graphs_new.php에 있는 host_new_graphs_save 함수에서 발견된 SQL 인젝션 취약점으로 원격에서 인증되지 않은 사용자가 임의의 SQL 명령을 실행시킬 수 있게 해준다.

CVE-2015-8570
Lepide Active Directory Self Service에 있는 암호 리셋 기능은 원격의 비인증 사용자가 도메인 사용자 암호를 임의대로 바꿀 수 있게 해준다.

CVE-2015-8571
Autodesk Design Review 2013 Hotfix 2 이전 버전에 있는 정수 오버플로우 버그로 원격의 공격자가 BMP 파일 내 조작된 biClrUsed 값을 사용해 임의의 코드를 실행할 수 있게 해준다. 버퍼 오버플로우가 발생한다.

CVE-2015-8572
Autodesk Design Review 2013 Hotfix 2 이전 버전에 있는 다량의 버퍼 오버플로우 버그로 원격의 공격자가 조작된 RLE 데이터를 가지고 임의의 코드를 실행할 수 있게 해준다. 이때 RLE 데이터는 BMP, FLI 파일 내에 있거나 PCX 파일 내의 스캔 라인, DataSubBlock, GIF 파일 내 GlobalColorTable에서 발견된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>