CVE-2016-6330, CVE-2016-7044, CVE-2016-7045
CVE-2016-7444, CVE-2016-7498

[보안뉴스 문가용] 현지 시각으로 9월 27일, 우리나라 시간으로는 대략 27일에서 28일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-6330
Red Hat JBoss Operations Network(JON) 서버에 있는 취약점으로 SSL 인증 방식에서 JON 서버 및 에이전트 통신이 설정되어 있지 않을 경우 원격의 공격자가 조작된 HTTP 요청을 통해 임의의 코드를 실행할 수 있게 해준다. CVE-2016-3737의 불완전한 픽스로 인해 발동된 취약점이다.

2. CVE-2016-7044
Irssi 0.8.20 이전 버전의 포맷 파싱 코드의 unformat_24bit_color 함수에 있는 취약점으로 트루컬러가 활성화된 채 컴파일 했을 때 원격의 공격자가 DoS 공격을 감행할 수 있게 해준다.

3. CVE-2016-7045
Irssi 0.8.20 이전 버전의 포맷 파싱 코드의 format_send_to_gui 함수에 있는 취약점으로 원격의 공격자가 DoS 공격을 감행할 수 있게 해준다.

4. CVE-2016-7444
GnuTLS 3.4.15 이전 버전, 3.5.4 이전의 3.5.x 버전의 lib/x509/ocsp.c의 gnutls_ocsp_resp_check_crt 함수에 있는 취약점으로 OCSP 응답의 직렬길이를 확인하지 않는다. 이로써 원격의 공격자가 의도된 인증서 확인 메커니즘을 우회할 수 있게 된다.

5. CVE-2016-7498
OpenStack Compute(nova) 13.0.0 버전의 취약점으로 컴퓨트 노드로부터 인스턴스를 제대로 삭제하지 않는다. 이 때문에 원격에서 승인된 사용자가 DoS 공격을 할 수 있게 된다. CVE-2015-3280의 리그레션 작용 때문에 발생하는 취약점이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>