CVE-2015-3205, CVE-2015-3395

[보안뉴스 주소형] 현지 시각으로 6월 16일, 우리나라 시간으로는 대략 16일에서 17일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2015-2804

펌웨어 6.6.4.309.R01, 6.6.5.x, 6.6.5.80.R02 이전 버전을 갖고 있는 알카텔-루슨트(Alcatel-Lucent) OmniSwitch 6450, 6250, 6850E, 9000E, 6400, 6855의 매니지먼드 웹 인터페이스에서 발견된 취약점으로 공격자가 원격에서 브루트포스 공격을 통해 세션을 납치할 수 있게 해줍니다.

2. CVE-2015-2805

펌웨어 6.4.5.R02, 6.4.6.R01, 6.6.4.R01, 6.6.5.R02, 7.3.2.R01, 7.3.3.R01, 7.3.4.R01,  8.1.1.R01을 갖고 있는 알카텔-루슨트(Alcatel-Lucent) OmniSwitch 6450, 6250, 6850E, 9000E, 6400, 6855, 6900, 10K, 6860에서 발견된 CSRF 취약점으로 공격자가 원격에서 조작된 요청을 통해 관리자의 인증을 납치할 수 있게 해줍니다.

3. CVE-2015-3010

ceph/ceph.client.admin.keyring을 위한 ceph-deploy 1.5.23 이전 버전의 허가를 약하게 만들어주는 취약점으로 로컬 사용자가 파일을 열람함으로 인해 민감한 정보를 탈취할 수 있게 해줍니다.

4. CVE-2015-3205

libmimedir에서 공격자 원격으로 두 개의 NULL 바이트를 갖고 있는 VCF 파일을 통해 임의의 코드를 실행할 수 있게 해줍니다. 이는 “lexer’s memory clean-up procedure.”라고 불리는 무료 기능과 연관되어 있습니다.

5. CVE-2015-3395

Libav 10.7, 11.x, 11.4 이전 버전, FFmpeg 2.0.7, 2.2.x, 2.2.15, 2.4.x, 2.4.8, 2.5.x, 2.5.6, 2.6.x, 2.6.2 이전 버전의 msrle_decode_pal4 기능에서 발견된 취약점으로 공격자가 원격에서 조작된 이미지를 통해 명시되지 않은 충격을 받게 해줍니다. 이는 pixel pointer와 연관되어 있습니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>