CVE-2016-0208, CVE-2016-0222, CVE-2016-0262
CVE-2016-1731, CVE-2016-2856

[보안뉴스 문가용] 현지 시각으로 3월 13일, 우리나라 시간으로는 대략 13일에서 14일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2016-0208
IBM WebSphere Commerce 6.x부터 6.0.0.11 버전, 7.x부터 7.0.0.9 버전, 8.x부터 8.0.0.3 버전에 있는 취약점으로 원격의 공격자가 DoS 공격을 실시할 수 있도록 해준다.

2. CVE-2016-0222
IBM Maximo Asset Management 7.6부터 7.6.0.3 IFIX001 버전에 있는 취약점으로 원격에서 승인된 사용자가 접근 제한 기능을 우회해 임의의 주문 및 구입 관련 로그를 읽을 수 있도록 해준다.

3. CVE-2016-0262
IBM Maximo Asset Management 7.1.1에서 7.1.1.3 버전, 7.5.0.9 IFIX004 이전의 7.5.0 버전, 7.6.0.3 IFIX001 이전의 7.6.0 버전에 있는 XSS 취약점으로 원격에서 승인된 사용자가 임의의 웹 스크립트나 HTML을 주입할 수 있도록 해준다.

4. CVE-2016-1731
윈도우용 애플 Software Update 2.2 이전 버전에 있는 취약점으로 HTTPS를 사용하지 않아서 클라이언트와 서버 간 데이터 흐름을 방해해 중간자 공격으로 업데이트를 스푸핑하기가 쉬워진다.

5. CVE-2016-2856
Debian jessie의 glibc 패티지 2.19-18+deb8u4 이전 버전의 pt_chown에 있는 취약점으로 namespace를 확인하지 않는다. 이 때문에 로컬의 사용자가 키스트로크를 캡처해 데이터를 스푸핑할 수 있게 해준다. 또한 권한을 훔치는 것 또한 가능해진다. 이는 debian/sysdeps/linux.mk와 관련이 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>