CVE-2016-0246, CVE-2016-0247, CVE-2016-0326
CVE-2016-0328, CVE-2016-0377

[보안뉴스 문가용 기자] 현지 시각으로 10월 21일, 우리나라 시간으로는 대략 21일에서 22일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2016-0246
IBM Security Guardium p310 이전의 8.2 버전, p700 이전의 9.x~9.5 버전, p100 이전의 10.x~10.1 버전의 XSS 취약점으로 원격의 공격자가 조작된 URL을 통해 임의의 웹 스크립트나 HTML을 주입할 수 있게 해준다.

2. CVE-2016-0247
IBM Security Guardium p310 이전 8.2 버전, p700 이전 9.x~9.5 버전, p100 이전 10.x~10.1 버전의 취약점으로 원격의 사용자가 민감한 정보를 평문 텍스트 파일로 받을 수 있게 해준다.

3. CVE-2016-0326
IBM Rational Quality Manager(RQM)과 Rational Collaborative Lifecycle Management iFix8 이전의 3.0.1.6 버전, 4.0.7 iFix11 이전의 4.x 버전, 5.0.2 iFix17 이전의 5.x 버전, 6.0.1 iFix3 이전의 6.x 버전의 취약점으로 원격에서 인증된 사용자가 임의의 OS 명령어를 실행할 수 있게 해준다.

4. CVE-2016-0328
IBM Security Guardium Database Activity Monitor p310 이전의 8.2 버전, p700 이전의 9.x~9.5 버전, p100 이전의 10.x~10.1 버전의 취약점으로 로컬의 사용자가 높은 권한을 취득해 명령어를 실행할 수 있게 해준다.

5. CVE-2016-0377
IBM WebSphere Application Server(WAS) 7.0.0.43 이전의 7.x 버전, 8.0.0.13 이전의 8.0.x 버전, 8.5.5.10 이전의 8.5.x 버전의 Administrative Console의 취약점으로 CSRFtoken 쿠키를 잘못 처리한다. 이로써 원격에서 승인된 사용자가 민감한 정보를 취득할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>