CVE-2016-4375, CVE-2016-4379, CVE-2016-4380, CVE-2016-4381

[보안뉴스 문가용] 현지 시각으로 9월 8일, 우리나라 시간으로는 대략 8일에서 9일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-4375
HPE Integrated Lights-Out 3(iLO 3) 펌웨어 1.88 이전 버전, Integrated Lights-Out 4(iLO 4) 펌웨어 2.44 이전 버전, Integrated Light-Out 4 mRCA 펌웨어 2.32 이전 버전의 다량 취약점으로 원격의 공격자가 민감한 정보를 탈취, 조작하거나 DoS 공격을 할 수 있게 해준다.

2. CVE-2016-4379
HPE Integrated Lights-Out 3(iLO3) 펌웨어 1.88 이전 버전의 TLS implementation에 있는 취약점으로 MAC 보호 메커니즘을 제대로 사용하지 않는다. 이 때문에 원격의 공격자가 민감한 정보를 탈취할 수 있게 된다.

3. CVE-2016-4380
HPE Operations Manager 9.21.130 이전의 9.21.x 버전의 AdminUI의 XSS 취약점으로 원격에서 승인된 사용자가 임의의 웹 스크립트나 HTML을 주입할 수 있게 해준다.

4. CVE-2016-4381
HPE XP7 Command View Advanced Edition(CVAE) Suite 8.4.1-02 이전의 6.x~8.x 버전의 취약점으로 Replication Manager와 Device Manager가 활성화되면 로컬의 사용자가 접근 금지 장치를 우회할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>