CVE-2016-4453, CVE-2016-4454, CVE-2016-4810
CVE-2016-4945, CVE-2016-5126


[보안뉴스 문가용] 현지 시각으로 6월 1일, 우리나라 시간으로는 대략 1일에서 2일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2016-4453
QEMU의 hw/display/vmware_vga.c의 vmsvga_fifo_run function에 있는 취약점으로 로컬의 OS 게스트 관리자가 VGA 명령을 통해 DoS 공격을 할 수 있게 해준다.

2. CVE-2016-4454
QEMU의 hw/display/vmware_vga.c의 vmsvga_fifo_read_raw에 있는 취약점으로 로컬의 OS 게스트 관리자가 FIFO register와 VGA 명령을 통해 민감한 정보를 메모리로부터 취득하거나 DoS 공격을 할 수 있게 해준다.

3. CVE-2016-4810
Citrix Studio 7.6.1000 이전 버전, Citrix XenDesktop 7.6 LTSR Cumulative Update 1 이전의 7.x 버전, Citrix XenApp 7.5와 7.6 버전에 있는 취약점으로 공격자가 Access Policy를 수정할 수 있게 해준다.

4. CVE-2016-4945
Citrix NetScaler Gateway Build 66.11 이전의 11.0 버전의 vpn/js/gateway_login_form_view.js에 있는 XSS 취약점으로 원격의 공격자가 NSC_TMAC 쿠키를 통해 HTML이나 임의의 웹 스크립트를 삽입할 수 있게 해준다.

5. CVE-2016-5126
QEMU의 block/iscsi.c의 iscsi_aio_ioctl에 있는 힙 버퍼 오버플로우 취약점으로 원격의 OS 게스트 사용자가 조작된 iSCSI를 통하여 임의의 코드를 실행하거나 DoS 공격을 할 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)