CVE-2015-5037, CVE-2015-5038, CVE-2015-5051
CVE-2015-8508, CVE-2015-8509

[보안뉴스 문가용] 현지 시각으로 1월 3일, 우리나라 시간으로는 대략 3일에서 4일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2015-5037
IBM Connections 3.0.1.1 CR3 이전의 3.x, CR4 이전의 4.0, CR5 이전의 4.5, CR3 이전의 5.0 버전에 있는 CSRF 취약점으로 원격에서 승인된 사용자가 XSS 시퀀스를 삽입하는 임의의 사용자 요청을 하이재킹 할 수 있다.

2. CVE-2015-5038
IBM Connections 3.0.1.1 CR3 이전의 3.x, CR4 이전의 4.0, CR5 이전의 4.5, CR3 이전의 5.0 버전에 있는 취약점으로 XML 개체 확장이 이루어지는 동안 recursion을 제대로 탐지하지 못한다. 이로써 원격의 공격자가 CPU 자원소비와 애플리케이션 크래쉬를 일으켜 DoS 공격을 할 수 있다. CVE-2003-1564와 흡사한 취약점이다.

3. CVE-2015-5051
IBM Maximo Asset Management 7.5.0.8 IF6 이전의 7.5, 7.6.0.2 IF1 이전의 7.6, Maximo Asset Management 7.5.0.8 IF6 이전의 7.5, 7.6.0.2 IF1 이전의 7.5.1과 7.6 버전(SmartCloud Cloud Desk용)에 있는 취약점으로, 원격에서 승인을 받은 사용자가 의도된 접근 제한 수단을 우회할 수 있다.

4. CVE-2015-8508
Bugzilla 4.2.16 이전의 2.x, 3.x, 4.x 버전, 4.4.11 이전의 4.4.x 버전, 5.0.2 이전의 4.5.x 및 5.0.x 버전에 있는 showdependencygraph.cgi의 XSS 취약점으로 로컬의 환경설정을 사용할 때 원격의 공격자가 임의의 웹 스크립트나 HTML을 입력할 수 있다.

5. CVE-2015-8509
Bugzilla 4.2.16 이전의 2.x, 3.x, 4.x, 4.4.11 이전의 4.3.x, 4.4.x, 5.0.2 이전의 4.5.x, 5.0.x 버전에 있는 취약점으로 CSV 파일을 제대로 구성하지 못한다. 이로써 원격의 공격자들이 CSV 데이터를 자바스크립트 코드로 인식하지 못하는 브라우저를 사용해 민감한 정보를 취득할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>