CVE-2014-8987, CVE-2014-9744

[보안뉴스 주소형] 현지 시각으로 8월 24일, 우리나라 시간으로는 대략 24일에서 25일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2014-3612

Apache ActiveMQ 5.x, 5.10.1 이전 버전의 JAAS에서 발견된 LDAPLoginModule 실행 취약점으로 공격자가 원격에서 비어있는 암호 및 가능한 사용자명을 통한 로깅(logging) 승인을 우회할 수 있게 해줍니다.

2. CVE-2014-6272

Libevent 1.4.x, 1.4.15, 2.0.x, 2.0.22, 2.1.x, 2.1.5-beta 이전 버전의 evbuffer API에서 발견된 다수의 정수 오버플로우 취약점으로 문맥 의존(context-dependent) 공격자가 1)  evbuffer_add, 2) evbuffer_expand, 3) bufferevent_write 기능의 비상식적으로 큰 인풋을 통해 서비스 거부를 할 수 있게 해주거나 명시되지 않은 충격을 가할 수 있게 해줍니다.

3. CVE-2014-8628

PolarSSL 1.2.12, 1.3.x, 1.3.9 이전 버전의 메모리 유출 취약점으로 공격자가 원격에서 조작된 X.509 인증서의 큰 숫자를 통해 서비스 거부를 할 수 있게 해줍니다.

4. CVE-2014-8987

MantisBT 1.2.13-1.2.17 버전의 Configuration Report 페이지에 있는 세트 환경설정에 있는 XSS 취약점으로 관리자가 원격에서 config_option 매개변수를 통해 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해줍니다. 이는 취약점 CVE-2014-8986과는 다른 취약점입니다.

5. CVE-2014-9744

PolarSSL 1.3.9 이전 버전의 메모리 유출 취약점으로 공격자가 원격에서 ClientHello 메시지의 큰 숫자를 통해 서비스 거부를 할 수 있게 해줍니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>