CVE-2016-3632, CVE-2016-3945, CVE-2016-3990
CVE-2016-3991, CVE-2016-4464

[보안뉴스 문가용] 현지 시각으로 9월 21일, 우리나라 시간으로는 대략 21일에서 22일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-3632
LibTIFF 4.0.6 혹은 이전 버전의 tif_dirinfo.c의 _TIFFVGetField 함수에 있는 취약점으로 원격의 공격자가 DoS 공격을 하거나 임의의 코드를 실행할 수 있게 해준다.

2. CVE-2016-3945
LibTIFF 4.0.6 혹은 이전 버전의 tiff2rgba 툴의 (1) cvt_by_strip과 (2) cvt_by_tile 함수에 있는 정수 오버플로우 취약점으로 –b 모드가 활성화되어 있을 때 원격의 공격자가 DoS 공격을 실행하거나 임의의 코드를 실행할 수 있게 해준다.

3. CVE-2016-3990
LibTIFF 4.0.6 혹은 이전 버전의 tif_pixarlog.c의 horizontalDifference8 함수에 있는 버퍼 오버플로우 취약점으로 원격의 공격자가 DoS 공격을 하거나 임의의 코드를 실행할 수 있도록 해준다.

4. CVE-2016-3991
LibTIFF 4.0.6 혹은 이전 버전의 tiffcrop 툴의 loadImage 함수의 버퍼 오버플로우 취약점으로 원격의 공격자가 DoS 공격을 하거나 임의의 코드를 실행할 수 있게 해준다.

5. CVE-2016-4464
Apache CXF Fediz 1.2.3 이전의 1.2.x 버전, 1.3.1 이전의 1.3.x 버전의 애플리케이션 플러그인 취약점으로 SAML AudienceRestriction 값과 설정된 청중 URI가 맞지 않는다. 이로써 원격의 공격자가 의도된 접근 제한 장치를 우회할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>