CVE-2016-7141, CVE-2016-8276, CVE-2016-8277
CVE-2016-8278, CVE-2016-8280

[보안뉴스 문가용 기자] 현지 시각으로 10월 3일, 우리나라 시간으로는 대략 3일에서 4일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2016-7141
curl과 libcurl 7.50.2 이전 버전의 취약점으로 NSS와 libnsspem.so 라이브러리로 구축되었을 때 원격의 공격자가 TLS 연결의 인증 과정을 하이재킹할 수 있다. CVE-2016-5420과 다른 취약점이다.

2. CVE-2016-8276
소프트웨어 V300R001C10SPC600 이전 버전이 설치된 Huawei USG2100, USG2200, USG5100, USG5500의 Ethernet(PPPoE) 모듈의 Point-to-Point 프로토콜의 버퍼 오버플로우 취약점으로 CHAP 인증이 서버에 설정되었을 때 원격의 공격자가 조작된 패킷을 통해 DoS 공격을 하거나 임의의 코드를 실행할 수 있게 된다.

3. CVE-2016-8277
소프트웨어 V300R001C01SPCa00 이전 버전이 설치된 Huawei USG9520, USG9560, USG9580의 취약점으로 원격에서 인증된 사용자가 특정 명령 매개변수를 통해 DoS 공격을 할 수 있게 해준다.

4. CVE-2016-8278
소프트웨어 V300R001C01SPCa00 이전 버전이 설치된 Huawei USG9520, USG9560, USG9580의 취약점으로 원격의 공격자가 DoS 공격을 할 수 있게 해준다.

5. CVE-2016-8280
Huawei eSight V300R003C20SPC005 이전 버전의 디렉토리 트라버설 취약점으로 원격에서 승인된 사용자가 임의의 파일을 열람할 수 있도록 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>