CVE-2017-1159, CVE-2017-1282, CVE-2017-1289
CVE-2017-1320, CVE-2017-9150

[보안뉴스 문가용 기자] 현지 시각으로 5월 22일, 우리나라 시간으로는 대략 22일에서 23일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2017-1159
IBM Business Process Manager 8.0~8.5 버전의 취약점으로 원격의 공격자가 URL을 스푸핑하여 피싱 공격을 감행할 수 있도록 해준다. 이로써 공격자는 민감한 정보에 접근할 수 있게 된다. IBM X-Force ID는 122891이다.

2. CVE-2017-1282
IBM Content Navigator & CMIS 2.0~3.0의 XSS 취약점으로 사용자들이 임의의 자바스크립트 코드를 웹 UI에 주입할 수 있도록 해준다. IBM X-Force ID는 124760이다.

3. CVE-2017-1289
IBM SDK, Java Technology Edition의 XML External Entity Injection 취약점으로 XML 데이터 프로세싱 단계에서 오류가 발생한다. 원격의 공격자가 민감한 정보를 취득하거나 메모리 리소스를 소비시킬 수 있게 된다. IBM X-Force ID의 125150이다.

4. CVE-2017-1320
IBM Tivoli Federated Identity Manager 6.2 버전의 XSS 취약점으로 사용자들이 임의의 자바스크립트 코드를 웹 UI에 주입시킬 수 있게 해준다. 이로써 크리덴셜이 유출될 수 있다. IBM X-Force ID는 125732이다.

5. CVE-2017-9150
리눅스 커널 4.11.1 이전의 kernel/bpf/verifier.c의 do_check 함수의 취약점으로 로컬의 사용자가 민감한 주소 정보를 얻을 수 있도록 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>