CVE-2015-8838, CVE-2015-8873, CVE-2015-8874
CVE-2016-2554, CVE-2016-3185

[보안뉴스 문가용] 현지 시각으로 5월 16일, 우리나라 시간으로는 대략 16일에서 17일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2015-8838
PHP 5.4.43 이전 버전, 5.5.27 이전 5.5.x 버전, 5.6.11 이전 5.6.x 버전의 ext/mysqlnd/mysqlnd.c에 있는 취약점으로 중간자 공격자들이 cleartext-downgrade 공격을 통해 서버를 스푸핑할 수 있게 해준다. CVE-2015-3152와 연관이 있다.

2. CVE-2015-8873
PHP 5.4.44 버전, 5.5.28 이전 5.5.x 버전, 5.6.12 이전 5.6.x 버전의 Zend/zend_exceptions.c의 stack consumption 취약점으로 원격의 공격자들인 DoS 공격을 할 수 있게 해준다.

3. CVE-2015-8874
PHP 5.6.12 이전 버전의 GD에 있는 stack consumption 취약점으로 원격의 공격자가 DoS 공격을 할 수 있게 해준다.

4. CVE-2016-2554
PHP 5.5.32 이전 버전, 5.6.18 이전 5.6.x 버전, 7.0.3 이전 7.x 버전의 스택 버퍼 오버플로우 취약점으로 원격의 공격자가 조작된 TAR 아카이브를 통해 DoS 공격을 할 수 있게 해준다.

5. CVE-2016-3185
PHP 5.4.44 이전 버전, 5.5.28 이전 5.5.x 버전, 5.6.12 이전 5.6.x 버전, 7.0.4 이전 7.x 버전의 ext/soap/php_http.c의 make_http_soap_request 함수에 있는 취약점으로 원격의 공격자가 프로세스 메모리를 통해 민감한 정보를 탈취하거나 DoS 공격을 할 수 있게 해준다. ext/soap/soap.c의 SoapClient::__call 메쏘드와 관련이 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)