CVE-2015-7908, CVE-2015-7919, CVE-2015-7937
CVE-2015-8458, CVE-2015-4545

[보안뉴스 문가용] 현지 시각으로 12월 21일, 우리나라 시간으로는 대략 21일에서 22일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2015-7908
Honeywell Midas gas detector 1.13b3 이전 버전과 Midas Black gas detector 2.13b3 이전 버전에 있는 취약점으로 원격의 공격자가 네트워크를 스니핑 해서 암호를 탈취하는 게 가능해진다.

2. CVE-2015-7919
SearchBlox 8.3.1 이전의 8.3 버전에 있는 취약점으로 원격의 공격자가 config file을 수정 및 편집하는 게 가능해진다. 이로써 DoS 공격 역시 가능해진다.

3. CVE-2015-7937
Schneider Electric Modicon M340 PLC BMXNOx와 BMXPx 기기 내에 있는 GoAhead Web Server의 스택 버퍼 오버플로우 취약점으로 원격의 공격자들이 HTTP Basic Authentication 데이터에서 암호를 길게 입력함으로써 임의의 코드를 실행할 수 있게 해준다.

4. CVE-2015-8458
Adobe Reader와 Acrobat 10.1.16 이전의 10.x 버전과 11.0.13 이전의 11.x 버전, Acrobat과 Acrobat Reader DC Classic 2015.006.30094 이전 버전, Acrobat과 Acrobat Reader DC Continuous 2015.009.20069 이전 버전(윈도우 및 OS X용)에 있는 취약점으로 공격자들이 다중 레이어 PDF 문서를 통해 임의의 코드를 실행하게 해준다. CVE-2015-6696과 CVE-2015-6698과는 다른 취약점이다.

5. CVE-2015-4545
EMC Isilon OneFS 7.1.1.8 이전의 7.1 버전, 7.2.0.4 이전의 7.2.0, 7.2.1.1 이전의 7.2.1 버전에 있는 취약점으로 원격에서 인증된 관리자가 SmartLock 루트 로그인 제한을 우회할 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>