CVE-2016-5828, CVE-2016-5829, CVE-2016-0224
CVE-2016-0229, CVE-2016-0233

[보안뉴스 문가용] 현지 시각으로 6월 27일, 우리나라 시간으로는 대략 27일에서 28일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-5828
리눅스 커널 4.6.3 버전까지의 arch/powerpc/kernel/process.c의 start_thread 함수에 있는 취약점으로 transactional state를 다룰 때 오류가 생긴다. 이로써 로컬의 사용자가 transaction을 시작했다가 멈춤으로써 DoS 공격을 감행할 수 있다.

2. CVE-2016-5829
리눅스 커널 4.6.3 버전까지의 drivers/hid/usbhid/hiddev.c의 hiddev_ioctl_usage 함수에 있는 다수의 힙 버퍼 오버플로우 취약점으로 로컬의 사용자가 조작된 HIDIOCGUSAGES나 HIDIOCSUSAGES ioctl call을 통해 DoS 공격을 감행할 수 있게 해준다.

3. CVE-2016-0224
IBM Marketing Platform 8.5.x, 8.6.x, 9.x(9.1.2.2 이전) 버전의 SQL 인젝션 취약점으로 원격의 공격자가 임의의 SQL 명령을 실행할 수 있도록 해준다.

4. CVE-2016-0229
IBM Marketing Platform 8.5.x, 8.6.x, 9.x(9.1.2.2 이전) 버전의 XSS 취약점으로 원격의 공격자가 조작된 URL을 통해 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해준다.

5. CVE-2016-0233
IBM Marketing Platform 8.5.x, 8.6.x, 9.x(9.1.2.2 이전) 버전의 SQL 인젝션 취약점으로 원격에서 인증된 사용자가 임의의 SQL 명령을 실행할 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>