CVE-2016-6452, CVE-2016-6453, CVE-2016-6454
CVE-2016-6455, CVE-2016-9176

[보안뉴스 문가용 기자] 현지 시각으로 11월 3일, 우리나라 시간으로는 대략 3일에서 4일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2016-6452
시스코 Prime Home의 GUI에 있는 취약점으로 원격의 공격자가 인증 과정을 우회할 수 있게 해준다. 공격자는 관리자 권한을 취득할 수 있게 된다. 또, 시스코 Prime Home 버전 5.1.1.6 및 그 이하 버전과 5.2.2.2 및 그 이하 버전은 확실히 이 취약점에 노출되어 있다고 한다. 시스코 Prime HOme 6.0 버전과 그 후 버전들은 취약하지 않다.

2. CVE-2016-6453
시스코 Identity Services Engine(ISE)의 웹 프레임워크 코드의 취약점으로 원격의 공격자가 임의의 SQL 명령을 실행할 수 있게 해준다.

3. CVE-2016-6454
시스코 Hosted Collaboration Mediation Fulfillment 애플리케이션의 CSRF　취약점으로 원격의 공격자가 임의의 행위를 할 수 있도록 해준다.

4. CVE-2016-6455
Data Processing Card 2가 탑재된 시스코 ASR 5500 시리즈 라우터의 StarOS의 Slowpath의 취약점으로 원격의 공격자가 subscriber 세션의 일부의 연결을 해제시킬 수 있어 마치 디도스처럼 보이는 효과를 만들 수 있다.

5. CVE-2016-9176
Micro Focus Rumba 9.4 혹은 그 이전 버전의 send.exe와 receive.exe의 스택 오버플로우 취약점으로 로컬의 공격자가 임의의 바이너리 및 실행 코드를 입력시킬 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>