CVE-2016-3706, CVE-2016-3720, CVE-2016-4429
CVE-2016-5118, CVE-2016-5233

[보안뉴스 문가용] 현지 시각으로 6월 10일, 우리나라 시간으로는 대략 10일에서 11일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-3706
GNU C Library(glibc 혹은 libc6)의 sysdeps/posix/getaddrinfo.c의 getaddrinfo 함수에 있는 버퍼 오버플로우 취약점으로 원격의 공격자들이 DoS 공격을 할 수 있도록 해준다. CVE-2013-4458의 불완전한 픽스 때문에 발생한 취약점이다.

2. CVE-2016-3720
Jackson(jackson-dataformat-xml)의 데이터 포맷 확장자의 XmlMapper에 있는 XXE 취약점으로 불특정한 공격을 가능하게 만든다.

3. CVE-2016-4429
GNU C Library(glibc 혹은 libc6)의 sunrpc/clnt_udp.c의 clntudp_call 함수에 있는 버퍼 오버플로우 취약점으로 원격의 서버에서 DoS 공격이 일어날 수 있도록 한다.

4. CVE-2016-5118
GraphicsMagick 1.3.24 이전 버전과 ImageMagick의 blob.c의 OpenBlob 함수에 있는 취약점으로 원격의 공격자가 | 캐릭터를 사용하여 임의의 코드를 실행할 수 있게 해준다.

5. CVE-2016-5233
NXT-AL10C00B182 이전의 NXT-AL10, NXT-CL00C92B182 이전의 NXT-CL00, NXT-DL00C17B182 이전의 NXT-DL00, NXT-TL00C01B182 이전의 NXT-TL00 소프트웨어가 설치된 Huawei Mate 8 스마트폰의 취약점으로 원격의 통신국에서 민감한 시그널 정보를 취득할 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>