CVE-2016-3653, CVE-2016-5304, CVE-2016-5305
CVE-2016-5306, CVE-2016-5307

[보안뉴스 문가용] 현지 시각으로 6월 30일, 우리나라 시간으로는 대략 30일에서 7월 1일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-3653
Symantec Endpoint Protection Manager (SEPM) RU6 MP5 이전 12.1 버전의 관리 스크립트의 CSRF 취약점으로 원격에서 승인된 사용자가 임의의 사용자 인증 과정을 하이재킹할 수 있게 해준다.

2. CVE-2016-5304
Symantec Endpoint Protection Manager (SEPM) RU6 MP5 이전 12.1 버전의 오픈 리다이렉트 취약점으로 원격에서 승인된 사용자가 다른 사용자를 임의의 웹 사이트로 우회시킬 수 있게 해준다.

3. CVE-2016-5305
Symantec Endpoint Protection Manager (SEPM) RU6 MP5 이전 12.1 버전의 관리 스크립트의 XSS 취약점으로 원격에서 승인된 사용자가 DOM 링크 악용 공격을 통해 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해준다.

4. CVE-2016-5306
Symantec Endpoint Protection Manager (SEPM) RU6 MP5 이전 12.1 버전의 취약점으로 HSTS 보호 메커니즘이 제대로 작동하지 않는다. 이 때문에 원격의 공격자가 네트워크 스니핑을 통해 민감한 정보를 손쉽게 취득할 수 있게 된다.

5. CVE-2016-5307
Symantec Endpoint Protection Manager (SEPM) RU6 MP5 이전 12.1 버전의 directory traversal 취약점으로 원격에서 인증된 사용자가 웹 루트 디렉토리에서 임의의 파일을 열람할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>