CVE-2017-9226, CVE-2017-9227, CVE-2017-9228
CVE-2017-9229, CVE-2017-9230

[보안뉴스 문가용 기자] 현지 시각으로 5월 24일, 우리나라 시간으로는 대략 24일에서 25일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


[이미지 = iclickart]

1. CVE-2017-9226
Oniguruma 6.2.0 버전의 next_state_val()의 fetch_token()과 fetch_token_in_cc()에서 발견된 힙 아웃오브바운드 라이트 혹은 리드 취약점으로, 공격자가 메모리 커럽션 공격을 감행할 수 있도록 해준다.

2. CVE-2017-9227
Oniguruma 6.2.0 버전의 mbc_enc_len()의 forward_search_range()의 스택 아웃오브바운드 리드 취약점으로 공격자가 스택 버퍼로부터 아웃오브바운드 리드 현상을 일으킬 수 있도록 해준다.

3. CVE-2017-9228
Oniguruma 6.2.0 버전의 bitset_set_range()의 parse_char_class()의 힙 아웃오브바운드 라이트 취약점으로 공격자들이 아웃오브바운드 라이트 메모리 커럽션을 일으킬 수 있도록 해준다.

4. CVE-2017-9229
Oniguruma 6.2.0 버전의 left_adjust_char_head()의 forward_search_range()에서 나타나는 SIGSEGV 오류로 공격자들이 DoS 공격을 감행할 수 있도록 해준다.

5. CVE-2017-9230
비트코인 Proof-of-Work 알고리즘의 취약점으로 80바이트 블록 헤더에 가해지는 특정 공격법에 대해 취약한 특성을 가지고 있다. 이로써 sqrt 숫자가 포함된 계산에서 오류가 발생한다. 이 때문에 일부 보안 기능에서 문제가 발생한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>