CVE-2014-9738, CVE-2014-9739

[보안뉴스 주소형] 현지 시각으로 7월 6일, 우리나라 시간으로는 대략 6일에서 7일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2014-3653

Foreman 1.6.1 이전 버전의 템플레이트 프리뷰 기능에서 발견된 XSS 취약점으로 공격자가 원격에서 조작된 프로비저닝 템플레이트를 통해 임의의 웹 스크립트나 HTML을 주입할 수 있게 해줍니다.

2. CVE-2014-5406

Hospira LifeCare PCA Infusion System 7.0 이전 버전에서 발견된 취약점으로 1) 드러그 라이브러리, 2) 소프트웨어 업데이트, 3) 환경설정 변경을 전송하여 네트워크 트래픽을 교란시킬 수 있습니다. 이는 공격자가 원격에서 패킷에 있는 a) TELNET, b) HTTP, c) HTTPS, d) UPNP 포트를 통해 셋팅을 수정할 수 있게 해주거나 데이터를 메디케이션할 수 있게 해줍니다(참고: 해당 취약점은 CVE-2015-3459와 오버랩 될 수 있습니다).

3. CVE-2014-9737

Drupal의 Language Switcher Dropdown module 7.x-1.x 버전 및 7.x-1.4 이전 버전에서 발견된 오픈 리다이렉트 취약점으로 공격자가 원격에서 차단된 URL을 통해 사용자에게 임의의 웹 사이트나 피싱 공격을 행할 수 있도록 해줍니다. 

4. CVE-2014-9738

Drupal의 Tournament module 7.x-1.x 버전 및 7.x-1.2 이전 버전에서 발견된 다수의 XSS 취약점으로 인증된 사용자가 원격에서 1) 계정 사용자명, 2) 노드 타이틀, 3) 팀 개체 타이틀을 통해 임의의 웹 스크립트나 HTML을 주입할 수 있게 해줍니다.

5. CVE-2014-9739

Drupal의 Node Field module 7.x-2.x 버전 및 7.x-2.45 이전 버전에서 발견된 XSS 취약점으로 인증된 사용자가 내장되어 있는 명시되지 않은 벡터를 통해 임의의 웹 스크립트나 HTML을 주입할 수 있게 해줍니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>