CVE-2015-0547, CVE-2015-0548

[보안뉴스 주소형] 현지 시각으로 7월 5일, 우리나라 시간으로는 대략 5일에서 7월 6일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2015-0543

ESRS VE 3.x 버전 및 3.06 이전 버전에서 발견된 취약점으로 SSL서버로부터 제대로 X.509 인증을 확인할 수 없게 해줍니다. 이는 공격자가 조작된 인증서를 통해 중간자공격을 가하여 서버를 스푸프 할 수 있게 해주고 민감한 정보를 탈취할 수 있게 해줍니다.

2. CVE-2015-0544

ESRS VE 3.x 버전 및 3.06 이전 버전에서 발견된 취약점으로 세션 쿠키를 위한 랜덤 수치를 제대로 만들어 낼 수 없게 해줍니다. 이는 공격자가 원격에서 예상 수치를 통해 세션을 납치 할 수 있게 해줍니다. 

3. CVE-2015-4129

Subrion CMS 3.3.3 이전 버전에서 발견된 SQL 주입 취약점으로 인증된 사용자가 원격에서 salt 쿠키 안에 있는 시리얼 데이터를 통해 임의의 SQL 명령어를 실행할 수 있게 해줍니다.  

4. CVE-2015-0547

EMC Documentum D2 4.1, 4.2, 4.2 P16 이전 버전, 4.5, P03 이전 버전의  D2CenterstageService.getComments 서비스 과정에서 발견된 취약점으로 인증된 사용자가 명시되지 않은 벡터를 통해 DQL 주입 공격을 행할 수 있게 해주고, 열람출입 제한을 우회할 수 있게 해줍니다.

5. CVE-2015-0548

EMC Documentum D2 4.1, 4.2, 4.2 P16 이전 버전 및 4.5, P03 이전 버전의  D2DownloadService.getDownloadUrls 서비스 과정에서 발견된 취약점으로 인증된 사용자가 명시되지 않은 벡터를 통해 DQL 주입 공격을 행할 수 있게 해주고, 열람출입 제한을 우회할 수 있게 해줍니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>