CVE-2016-9800, CVE-2016-9801, CVE-2016-9802
CVE-2016-9803, CVE-2016-9804

[보안뉴스 문가용 기자] 현지 시각으로 12월 3일, 우리나라 시간으로는 대략 3일에서 4일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-9800
BlueZ 5.42 버전의 tools/parser/hci.c 소스 파일의 pin_code_reply_dump 함수의 버퍼 오버플로우 취약점으로, pin_code_reply_cp *cp 매개변수 프레임으로부터 들어오는 버퍼의 크기를 제대로 확인하지 않는다.

2. CVE-2016-9801
BlueZ 5.42 버전의 tools/parser/l2cap.c 소스 파일의 set_ext_ctrl 함수의 버퍼 오버플로우 취약점으로 오염된 덤프 파일을 처리할 때 발생한다.

3. CVE-2016-9802
BlueZ 5.42 버전의 monitor/packet.c 소스파일의 l2cap_packet 함수의 버퍼 오버리드 취약점으로 잘못된 덤프 파일을 처리할 때 발생하며 시스템 마비를 일으킨다.

4. CVE-2016-9803
BlueZ 5.42 버전의 tools/parser/hci.c 소스파일의 le_meta_ev_dump 함수에 있는 아웃오브바운드 리드 취약점으로 subevent에서 오브플로우가 발생할 때 나타나는 현상이다.

5. CVE-2016-9804
BlueZ 5.42 버전의 tools/parser/csr.c 소스파일의 commands_dump 함수의 버퍼 오버플로우 취약점으로 commands 어레이가 오버플로우 되면서 발생하는 현상이다. 잘못된 덤프 파일을 처리할 때 발생한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>