CVE-2015-3439, CVE-2015-3636

CVE-2015-4167, CVE-2002-2445

[보안뉴스 문가용] 현지 시각으로 8월 5일, 우리나라 시간으로는 대략 5일에서 6일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2015-3439

Ephox의 plupload.flash.swf shim 2.1.2에서 발견된 XSS 취약점으로 워드프레스 3.9.x와 4.0.x, 4.1.x 버전에 특히 큰 영향을 주었습니다. 이를 악용하면 표적이 된 매개변수를 통해 원격에서 자바스크립트의 함수를 실행할 수 있기 해주며, 여기에는 _init.as와 _fireEvent.as와 같은 클릭과 관련된 함수도 포함됩니다.

2. CVE-2015-3636

리눅스 커널 4.0.3 이전 버전의 net/ipv4/ping에 있는 ping_unhash 함수가 unhash 기능이 발동되는 동안 특정 목록 데이터 구조를 만들지 않는 취약점입니다. 이를 악용하면 로컬 사용자가 DoS 공격을 하거나 필요 이상의 권한을 가져갈 수 있게 됩니다.

3. CVE-2015-4167

리눅스 커널 3.19.1 이하 버전의 fs/udf/inode.c에 있는 udf_read_inode 함수가 특정 길이의 값을 처리하지 못하는 취약점입니다. 이를 악용하면 로컬 사용자가 DoS 공격을 감행할 수 있게 됩니다.

4. CVE-2002-2445

GE Healthcare Millennium MG, NC, MyoSIGHT에서 발견된 취약점으로 디폴트 암호가 1) root.genie(루트 권한을 가진 사용자의 경우) 2) service(서비스 담당 사용자의 경우) 3) admin.genie(관리자 권한을 가진 사용자의 경우) 4) reboot(리부트 사용자의 경우) 5) shutdown(셧다운 담당 사용자의 경우)로 설정되어 있는 취약점입니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>