CVE-2014-8616, CVE-2014-8618, CVE-2014-8619

CVE-2014-9326, CVE-2015-1858

[보안뉴스 문가용] 현지 시각으로 5월 12일, 우리나라 시간으로는 대략 12일에서 13일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2014-8616

Fortinet FortiOS 5.2.x 및 5.2.3 이하 버전에서 발견된 다수 XSS 취약점으로 공격자가 원격에서 임의의 웹 스크립트나 HTML을 출처가 불분명한 벡터를 통해 삽입할 수 있게 해줍니다. 사용자 그룹이거나 VPN 템플릿 메뉴가 주입 대상이라고 합니다.

2. CVE-2014-8618

Fortinet FortiADC의 D 모델, 그 중에서도 4.2 이전 버전의 로그인 페이지에서 발견된 XSS 취약점으로 공격자가 원격에서 임의의 웹 스크립트나 HTML을 출처가 불분명한 벡터를 통해 삽입할 수 있게 해줍니다.

3. CVE-2014-8619

Fortinet FortiWeb 5.1.2에서 5.3.4 버전의 autolearn 환경설정 페이지에서 발견된 XSS 취약점으로 공격자가 원격에서 임의의 웹 스크립트나 HTML을 출처가 불분명한 벡터를 통해 삽입할 수 있게 해줍니다.

4. CVE-2014-9326

1) F5 BIG-IP LTM, AAM, AFM, Analytics, APM, GTM, Link Controller 11.5.0에서 11.6.0, ASM 10.0.0에서 11.6.0, PEM 11.3.0에서 11.6.0의 Phone Home 기능

2) ASM 10.0.0에서 11.6.0, PEM 11.3.0에서 11.6.0의 Call Home 기능

의 자동 시그니처 업데이트 기능에서 발견된 취약점으로 서버의 SSL 인증서를 올바르게 인증하지 않음으로써 공격자가 원격에서 위조된 인증서를 가지고 중간자 공격을 감행할 수 있게 해줍니다.

5. CVE-2015-1858

Qt 4.8.7에서 5.x 버전의 QtBase 모듈에서 발견된 버퍼 오버플로우 취약점으로 공격자가 원격에서 DoS 공격을 감행하고 임의 코드를 위조된 BMP 이미지 파일을 통해 실행할 수 있도록 해줍니다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>