CVE-2015-2873, CVE-2015-2904

[보안뉴스 주소형] 현지 시각으로 8월 23일, 우리나라 시간으로는 대략 23일에서 24일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2015-1992

IBM Systems Director 5.2.x, 6.1.x, 6.2.0.x, 6.2.1.x, 6.3.0.0, 6.3.1.x, 6.3.2.x, 6.3.3.x, 6.3.5.0, 6.3.6.0 버전에서 발견된 취약점으로 이벤트 프로세스를 방해합니다. 이는 로컬 사용자가 명시되지 않은 벡터를 통해 특권을 얻을 수 있게 해줍니다. 

2. CVE-2015-2018

IBM Integration Bus 9, 10, 10.0.0.1 이전 버전 및 WebSphere Message Broker 7,  7.0.0.8, 8, 8.0.0.7 이전 버전에서 발견된 취약점으로 인증된 사용자가 원격에서 명시되지 않은 벡터를 통해 민감한 정보를 탈취할 수 있게 해줍니다.

3. CVE-2015-2872

Trend Micro DDI의 Deep Discovery Threat 어플라이언스 3.5.1477, 3.6.x, 3.6.1217, 3.7.x, 3.7.1248, 3.8.x,  3.8.1263 이전 버전에서 발견된 다수의 XSS 취약점으로 공격자가 원격에서 1) index.php로의 조작된 인풋, 2) 위젯(widget) 기능으로의 조작된 인풋 등을 통해 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해줍니다. 

4. CVE-2015-2873

Trend Micro DDI의 Deep Discovery Threat 어플라이언스 3.5.1477, 3.6.x, 3.6.1217, 3.7.x, 3.7.1248, 3.8.x,  3.8.1263 이전 버전에서 발견된 취약점으로 공격자가 원격에서 1) 시스템 로그 URL, 2) 화이트리스트 URL, 3) 블랙리스트 URL 로의 다이렉트 요청을 통해 민감한 정보를 탈취할 수 있게 해주거나 환경설정을 변경할 수 있게 해줍니다.

5. CVE-2015-2904

펌웨어 NCS01-1.0.13 이전 버전을 보유하고 있는 Actiontec GT784WN 모뎀에서 발견된 취약점으로 공격자가 원격에서 웹 관리자 인터페이스로 연결되는 루트 접속권을 탈취할 수 있게 해줍니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>