CVE-2016-9991, CVE-2017-1140, CVE-2017-1179
CVE-2017-1319, CVE-2017-9523

[보안뉴스 문가용 기자] 현지 시각으로 6월 8일, 우리나라 시간으로는 대략 8일에서 9일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2016-9991
IBM Sterling Order Management 9.2~9.5 버전의 XSS 취약점으로 공격자가 악성 행동을 감행할 수 있도록 해준다. IBM X-Force ID는 121314다.

2. CVE-2017-1140
IBM Business Process Manager 8.0과 8.5 버전의 XSS 취약점으로 사용자가 임의의 자바스크립트 코드를 Web UI에 임베드 시킬 수 있도록 해준다. 이로써 신뢰된 세션에 크리덴셜 노출이 발생할 수 있다.

3. CVE-2017-1179
IBM BigFix Compliance Analytics 1.9.79 버전의 취약점으로 암호화 알고리즘이 약해 공격자가 민감한 정보의 암호를 풀 수 있게 해준다. IBM X-Force ID는 123431이다.

4. CVE-2017-1319
IBM Tivoli Federated Identity Manager 6.2 버전의 취약점으로 암호화된 세션 쿠키에 보안 강화된 특성이 존재하지 않는다. IBM X-Force ID는 125731이다.

5. CVE-2017-9523
Sophos Web Appliance 4.3.2 이전 버전의 FTP 리다이렉트 페이지의 XSS 취약점으로, NSWA-1342와 동일하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>