CVE-2015-2169, CVE-2015-2308

[보안뉴스 주소형] 현지 시각으로 6월 24일, 우리나라 시간으로는 대략 24일에서 25일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2013-7397

AHC 환경에서 임의의 인증서를 제시함으로서 HTTPS 서버를 스푸프하여 중간자 공격을 가할 수 있는 취약점으로 고객 인증서를 전송하지 않게 해줍니다.

2. CVE-2013-7398

AHC(또는 async-http-client) 1.9.0 이전 버전의 main/java/com/ning/http/client/AsyncHttpClientConfig.java에서 발견된 취약점으로 중각자 공격을 가하는 공격자가 임의의 가능 인증서를 통해 HTTPS 서버를 스푸프할 수 있게 해줍니다.

3. CVE-2014-4875

Toshiba CHEC 6.6, 6.7 이전 버전의 CreateBossCredentials.jar에서 발견된 취약점으로 하드코드되어 있는 AES key가 포함되어 있습니다. 이는 공격자가 레버리징 정보에 의해 BOSS DB2에 있는 기밀문서를 발견할 수 있게 해줍니다.

4. CVE-2015-2169

Zoho ManageEngine AssetExplorer 6.1 버전에서 발견된 XSS 취약점으로 공격자가 원격에서 레지스트리 권한을 통해 임의의 웹 스크립트나 HTML을 주입할 수 있게 해줍니다. 이는 기계 스캔이 제대로 작동할 수 없게 해줍니다. 

5. CVE-2015-2308

HttpCache class, HttpKernel, Symfony 2.x, 2.3.27, 2.4.x, 2.5.x, 2.5.11, 2.6.x, 2.6.6 이전 버전에서 발견된 Eval injection 취약점으로 공격자가 원격에서 SCRIPT 요소 가운데 php 언어를 통해 임의의 PHP 코드를 실행할 수 있게 해줍니다.   

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>