CVE-2016-9772, CVE-2017-5367, CVE-2017-5368
CVE-2017-5595, CVE-2017-5677

[보안뉴스 문가용 기자] 현지 시각으로 2월 6일, 우리나라 시간으로는 대략 6일에서 7일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-9772
OpenAFS 1.6.19 및 이전 버전의 취약점으로 원격의 공격자들이 민감한 디렉토리 정보를 취득할 수 있도록 해준다. 클라이언트 캐시 파티션, 파일서버 바이스 파티션, 특정 RPC 응답들과 관련이 있는 문제다.

2. CVE-2017-5367
ZoneMinder 1.29 및 1.30 버전의 다량 XSS 취약점으로 원격의 공격자가 악성 스크립트를 클라이언트 브라우저 내에서 실행할 수 있도록 해준다. URL은 /zm/index.php이며 샘플 매개변수는 action=login&view=postlogin[XSS] view=console[XSS] view=groups[XSS] view=events&filter[terms][1][cnj]=and[XSS] view=events&filter%5Bterms%5D%5B1%5D%5Bcnj%5D=and[XSS] view=events&filter%5Bterms%5D%5B1%5D%5Bcnj%5D=[XSS]and view=events&limit=1%22%3E%3C/a%3E[XSS] 등이 있다..

3. CVE-2017-5368
ZoneMinder 1.29 및 1.30 버전의 CSRF 취약점으로 원격의 공격자가 웹 애플리케이션에 변경을 가할 수 있게 해준다. 특히 피해자가 악성 웹 페이지를 방문하면 공격자는 피해자 모르게 자동으로 관리자 계정을 생성해 지속적인 공격을 할 수 있게 된다. URL은 /zm/index.php이며 샘플 매개변수는 action=user uid=0 newUser[Username]=attacker1 newUser[Password]=Password1234 conf_password=Password1234 newUser[System]=Edit 등이 있다.

4. CVE-2017-5595
ZoneMinder 1.x~1.30.0 버전의 취약점으로 인증 과정을 통과한 공격자가 로컬 시스템 파일을 임의대로 읽어들일 수 있게 해준다.

5. CVE-2017-5677
PEAR HTML_AJAX 0.3.0~0.5.7의 PHP Serializer의 PHP Object Injection 취약점으로 원격의 코드 실행을 가능하게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>