CVE-2016-1348, CVE-2016-1349, CVE-2016-1350
CVE-2016-1351, CVE-2016-3119

[보안뉴스 문가용] 현지 시각으로 3월 25일, 우리나라 시간으로는 대략 25일에서 26일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2016-1348
시스코 IOS 15.0~15.5 버전과 IOS XE 3.3~3.16 버전에 있는 취약점으로 원격의 공격자들이 조작된 DHCPv6 Relay 메시지를 통해 DoS 공격을 할 수 있게 해준다. Bug ID CSCus55821과 동일하다.

2. CVE-2016-1349
시스코 IOS 12.2, 15.0, 15.2 버전과 IOS XE 3.2~3.7의 Smart Install 클라이언트에 있는 취약점으로 Smart Install 패킷 내 조작된 이미지 목록 매개변수를 통해 DoS 공격을 할 수 있게 해준다. Bug ID CSCuv45410과 동일하다.

3. CVE-2016-1350
시스코 IOS 15.3~15.4 버전, 시스코 IOS XE 3.8~3.11 버전, 시스코 Unified Communications Manager에 있는 취약점으로 원격의 공격자가 이상 SIP 메시지를 통해 DoS 공격을 할 수 있게 해준다. Bug ID CSCuj23293과 같다.

4. CVE-2016-1351
시스코 IOS 15.1, 15.2 버전, NX-OS 4.1~6.2 버전의 Locator/ID Separation Protocol에 있는 취약점으로 원격의 공격자가 조작된 패킷 헤더를 통해 DoS 공격을 할 수 있게 해준다. Bug ID CSCuu64279와 동일하다.

5. CVE-2016-3119
MIT Kerberos 5~1.13.4, 1.14.x, 1.14.1의 LDAP KDB 모듈 내 plugins/kdb/ldap/libkdb_ldap/ldap_principal2.c에 있는 process_db_args 함수에 있는 취약점으로 DB 인수를 올바로 처리하지 않아 원격에서 인증된 사용자가 조작된 요청을 통해 DoS 공격을 할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>