CVE-2016-1435, CVE-2016-1436, CVE-2016-1437
CVE-2016-1438, CVE-2016-1439

[보안뉴스 문가용] 현지 시각으로 6월 22일, 우리나라 시간으로는 대략 22일에서 23일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-1435
소프트웨어 버전 11.0(1)이 설치된 시스코 8800 전화기에 있는 취약점으로 mounted-filesystem 허용을 올바로 적용하지 않는다. 이로써 로컬 사용자가 임의의 파일에 쓰기 권한을 발휘할 수 있게 된다. Bug ID CSCuz03014와 동일하다.

2. CVE-2016-1436
시스코 ASR 5000 Packet Data Network Gateway 기기들 19.4 이전 버전에 설치된 General Packet Radio Switching Tunneling Protocol 1에 있는 취약점으로 원격의 공격자가 DoS 공격을 할 수 있도록 해준다. Bug ID CSCuz46198과 동일하다.

3. CVE-2016-1437
시스코 Prime Collaboration Deployment 11.5.1 이전 버전의 SQL 데이터베이스에 있는 SQL 인젝션 취약점으로 원격에서 승인된 사용자가 임의의 SQL 명령을 실행할 수 있도록 해준다. Bug ID CSCuy92549와 동일하다.

4. CVE-2016-1438
Email Security Appliance의 시스코 AsyncOS 9.7.0-125에 있는 취약점으로 원격의 공격자가 스팸 필터링 기능을 우회할 수 있게 해준다. Bug ID CSCuy39210과 동일하다.

5. CVE-2016-1439
시스코 Unified Contact Center Enterprise 10.5(2)의 관리 인터페이스에 있는 XSS 취약점으로 원격의 공격자가 임의의 웹 스크립트나 HTML을 삽입할 수 있도록 해준다. Bug ID CSCux59650과 동일하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>