CVE-2014-6192 ,CVE-2014-8926

[보안뉴스 주소형] 현지 시각으로 5월 25일, 우리나라 시간으로는 대략 25일에서 26일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2014-4774

IBM License Metric Tool 9, 9.1.0.2 이전 버전의 로그인 페이지 및 엔드포인트 매니저를 위한 Software Use Analysis 9, 9.1.0.2 이전 버전에서 발견된 CSRF 취약점으로 공격자가 원격에서 FRAME 요소가 포함된 벡터를 통해 임의의 사용자 인증을 납치할 수 있게 해줍니다.  

2. CVE-2014-4778

IBM License Metric Tool 9, 9.1.0.2 이전 버전 및 엔드포인트 매니저를 위한 Software Use Analysis 9, 9.1.0.2 이전 버전의 로그인 페이지를 위한 요청에 대응하는 X-Frame-Options HTTP 헤더를 전송하지 않게 해줍니다. 이는 공격자가 원격으로 FRAME 요소가 포함된 벡터를 통해 클릭재킹(clickjacking) 할 수 있게 해줍니다.

3. CVE-2014-6190

IBM Workload Deployer 3.1, 3.1.0.7 이전 버전에서 발견된 log viewer로 공격자가 원격에서 로그 문서의 URL에 있는 직접 요청을 통해 민감한 정보를 탈취할 수 있게 해줍니다.

4. CVE-2014-6192

IBM Curam Social Program Management 6.0 SP2 EP26, 6.0.4 이전 버전, 6.0.4.5 iFix10, 6.0.5 이전 버전 6.0.5.6, 6.0.5.5a, 6.0.5.8 이전 버전에서 발견된 XSS 취약점으로 공격자가 원격에서 조작된 URL을 통해 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해줍니다.

5. CVE-2014-8926

CIT 2.7.0.2050 이전 버전, IBM License Metric Tool 7.2.2, 7.5, 9, 엔드포인트 매니저를 위한 Software Use Analysis 9, Tivoli Asset Discovery 7.2.2와 7.5 사이에서 발견된 취약점으로 공격자가 원격에서 조작된 XML 쿼리를 통해 서비스 거부를 할 수 있게 해줍니다. 이는 CVE-2014-8927과는 다른 취약점입니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>