CVE-2015-3245, CVE-2015-3246

[보안뉴스 주소형] 현지 시각으로 8월 11일, 우리나라 시간으로는 대략 11일에서 12일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2015-1818

Red Hat JBoss BPM Suite 6.1.2 이전 버전의 dashbuilder 기능에서 발견된 XML XXE 취약점으로 공격자가 원격에서 조작된 XML 문서를 통해 임의의 파일을 열람할 수 있게 해주고 SSRF 공격을 실행할 수 있게 해줍니다.

2. CVE-2015-2323

FortiOS 5.0.x, 5.0.12, 5.2.x, 5.2.4 이전 버전에서 발견된 취약점으로 TLS를 사용하여 FortiGuard 서버에 연결할 수 있게 해줍니다. 이는 공격자가 중간에서 패킷 변경을 통해 TLS 콘텐츠에 스푸핑 할 수 있게 해줍니다.

3. CVE-2015-3228

Ghostscript 9.15 이전 버전의 gs_heap_alloc_bytes 기능ㅇ서 발견된 정부 오버플로우 취약점으로 공격자가 원격에서 조작된 Postscript 파일을 통해 서비스 거부를 할 수 있게 해줍니다.

4. CVE-2015-3245

libuser 0.56.13-8 이전 버전 및 0.60, 0.60-7 이전 버전의 chfn 기능에서 발견된 Incomplete blacklist 취약점으로 로컬 사용자가 GECOS에 있는 뉴스라인 캐릭터를 통해 서비스 거부를 할 수 있게 해줍니다.

5. CVE-2015-3246

libuser 0.56.13-8 이전 버전 및 0.60, 0.60-7 이전 버전에서 발견된 취약점으로 로컬 사용자가 수정되는 동안 발생되는 에러로 인해 서비스 거부를 할 수 있게 해줍니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>