CVE-2015-0760, CVE-2015-0761, CVE-2015-0762

CVE-2015-0763, CVE-2015-0764

[보안뉴스 문가용] 현지 시각으로 6월 4일, 우리나라 시간으로는 대략 4일에서 5일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2015-0760

시스코의 ASA 소프트웨어 8.2.2.13 이전 버전 중에서 7.x, 8.0.x, 8.1.x, 8.2.x에 IKEv1을 구현할 때 나타나는 버그로 원격에서 인증을 받은 사용자가 XAUTH라는 인증 시스템을 IKEv1 패킷을 통해 우회할 수 있도록 해줍니다. 버그 ID CSCus47259와 동일합니다.

2. CVE-2015-0761

시스코의 AnyConnect Secure Mobility Client 4.0(2052) 이전 리눅스 버전 중 3.1(8009)과 4.x에 해당하는 것으로, 특정되지 않은 내부 함수를 제대로 구현하지 않아 로컬의 사용자가 루트 권한을 갖게 해주는 버그입니다. 버그 ID CSCus86790과 동일합니다.

3. CVE-2015-0762

시스코의 Unified MeetingPlace 8.6(1.2)와 8.6(1.9)에 있는 관리 인터페이스에서 발견된 XSS 취약점으로 원격의 공격자가 임의의 웹 스크립트나 HTML을 조작된 URL 값을 통해 주입할 수 있도록 해줍니다. 버그 ID CSCuu51400과 동일합니다.

4. CVE-2015-0763

시스코의 Unified MeetingPlace 8.6(1.2)에 있는 버그로 세션 ID를 제대로 확인하지 않아 원격의 공격자가 민감한 세션 정보에 접근할 수 있게 해줍니다. 버그 ID는 CSCuu60338과 같습니다.

5. CVE-2015-0764

시스코의 Unified MeetingPlace 8.6(1.9)에 있는 버그로 원격의 사용자가 임의의 파일을 조작된 리소스 요청을 통해 읽어들일 수 있도록 합니다. 버그 ID는 CSCus95603과 같습니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>