CVE-2015-8368, CVE-2015-8369, CVE-2015-8600
CVE-2015-8601, CVE-2015-8602

[보안뉴스 문가용] 현지 시각으로 12월 17일, 우리나라 시간으로는 대략 17일에서 18일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



CVE-2015-8368
ntopng 혹은 ntop 2.2 이전 버전에 있는 취약점으로 원격으로 승인된 사용자들이 사용자 쿠키와 admin/password_reset.lua의 사용자이름 매개변수를 조작해 로그인 환경을 바꿈으로써 필요 이상의 권한을 가져갈 수 있게 된다.

CVE-2015-8369
Cacti 0.8.8f와 그 이전 버전에 있는 include/top_graph_header.php의 SQL 인젝션 취약점으로 원격의 공격자가 임의의 SQL 명령을 rra_id 매개변수를 통해 실행할 수 있게 해준다.

CVE-2015-8600
SAP Mobile Platform의 SysAdminWebTool 서브렛에 있는 취약점으로 원격의 공격자들이 인증과정을 우회해 민감한 정보, 높은 권한을 탈취하고 기타 여러 다른 충격을 줄 수 있게 해준다. SAP Security Note 2227855와 같은 취약점이다.

CVE-2015-8601
드루팔의 Chat Room 모듈 7.x-2.2 이전의 7.x-2.x 버전에 있는 취약점으로 채팅 메시지의 웹소킷을 설정할 때 똑바로 허용 여부를 확인하지 않아서 생긴다. 그래서 원격의 공격자들이 접근 제어 장치 및 설정을 간단히 우회할 수 있게 된다.

CVE-2015-8602
드루팔의 Token Insert Entity 모듈 7.x-1.1 이전의 7.x-1.x 버전에 있는 취약점으로 허용 여부를 똑바로 확인하지 않아서 생긴다. 그래서 원격에서 승인된 사용자가 접근 제어 장치 및 설정을 간단히 우회해 민감한 정보를 탈취할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>