CVE-2016-0319, CVE-2016-2926, CVE-2016-2927
CVE-2016-2928, CVE-2016-2929
[보안뉴스 문가용 기자] 현지 시각으로 11월 25일, 우리나라 시간으로는 대략 25일에서 26일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.
.jpg)
1. CVE-2016-0319
IBM Jazz Reporting Service 6.0과 6.0.1 iFix006 이전의 6.0.1 버전의 Lifecycle Query Engline(LQE)의 XML 파서의 취약점으로 원격에서 인증된 관리자가 XML 문서를 통해 임의의 파일을 읽어들이거나 DoS 공격을 할 수 있게 해준다. XML External Entity와 관련이 있는 문제다.
2. CVE-2016-2926
IBM Rational Collaborative Lifecycle Management 4.0.7 iFix11 이전의 4.0 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational Quality Manager 4.0 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational DOORS Next Generation 4.0 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational Engineering Llifecycle Manager 4.x 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational Engineering Lifecycle Manager 4.x 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational Rhapsody Design Manager 4.0 버전, 5.0.2 iFix 19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational Software Architect Design Manager 4.0 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전의 XSS 취약점으로 원격에서 인증된 사용자가 임의의 웹 스크립트를 주입할 수 있도록 해준다.
3. CVE-2016-2927
IBM BigFix Remote Control 9.1.3 이전 버전의 취약점으로 암호화 알고리즘의 제한 기능이 제대로 발휘되지 않는다. 이로써 원격의 공격자가 암호화 방어 메커니즘을 쉽게 뚫어낼 수 있게 된다.
4. CVE-2016-2928
IBM BigFix Remote Control 9.1.3 이전 버전의 취약점으로 원격에서 인증된 사용자가 오류 로그를 읽어들임으로써 민감한 정보를 취득할 수 있게 해준다.
5. CVE-2016-2929
IBM BigFix Remote Control 9.1.3 이전 버전의 취약점으로 암호 선택을 제대로 제한하지 않는다. 이로써 원격의 공격자가 브루트포스 공격으로 접근 권한을 취득할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]
CVE-2016-2928, CVE-2016-2929
[보안뉴스 문가용 기자] 현지 시각으로 11월 25일, 우리나라 시간으로는 대략 25일에서 26일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.
1. CVE-2016-0319
IBM Jazz Reporting Service 6.0과 6.0.1 iFix006 이전의 6.0.1 버전의 Lifecycle Query Engline(LQE)의 XML 파서의 취약점으로 원격에서 인증된 관리자가 XML 문서를 통해 임의의 파일을 읽어들이거나 DoS 공격을 할 수 있게 해준다. XML External Entity와 관련이 있는 문제다.
2. CVE-2016-2926
IBM Rational Collaborative Lifecycle Management 4.0.7 iFix11 이전의 4.0 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational Quality Manager 4.0 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational DOORS Next Generation 4.0 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational Engineering Llifecycle Manager 4.x 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational Engineering Lifecycle Manager 4.x 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational Rhapsody Design Manager 4.0 버전, 5.0.2 iFix 19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전, 4.0.7 iFix11 이전의 Rational Software Architect Design Manager 4.0 버전, 5.0.2 iFix19 이전의 5.0 버전, 6.0.2 iFix3 이전의 6.0 버전의 XSS 취약점으로 원격에서 인증된 사용자가 임의의 웹 스크립트를 주입할 수 있도록 해준다.
3. CVE-2016-2927
IBM BigFix Remote Control 9.1.3 이전 버전의 취약점으로 암호화 알고리즘의 제한 기능이 제대로 발휘되지 않는다. 이로써 원격의 공격자가 암호화 방어 메커니즘을 쉽게 뚫어낼 수 있게 된다.
4. CVE-2016-2928
IBM BigFix Remote Control 9.1.3 이전 버전의 취약점으로 원격에서 인증된 사용자가 오류 로그를 읽어들임으로써 민감한 정보를 취득할 수 있게 해준다.
5. CVE-2016-2929
IBM BigFix Remote Control 9.1.3 이전 버전의 취약점으로 암호 선택을 제대로 제한하지 않는다. 이로써 원격의 공격자가 브루트포스 공격으로 접근 권한을 취득할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.png)
.png)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
