CVE-2017-9940, CVE-2017-9941, CVE-2017-9942
CVE-2017-12677, CVE-2017-12678

[보안뉴스 문가용 기자] 현지 시각으로 8월 7일, 우리나라 시간으로는 대략 7일에서 8일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2017-9940
Siemens SiPass V2.70 이전 버전의 취약점으로 공격자에게 낮은 권한의 사용자 계정에 대한 접근권한을 제공한다. 이로써 공격자가 SiPass 통합 서버의 파일 시스템에 파일을 읽고 쓸 수 있게 해준다.

2. CVE-2017-9941
Siemens SiPass V2.70 이전 버전의 취약점으로 공격자가 SiPass 통합 서버와 SiPass 통합 클라이언트 사이에서 중간자 공격을 감행할 수 있도록 해준다. 이 때문에 네트워크 통신을 읽어들이고 조작할 수 있게 해준다.

3. CVE-2017-9942
Siemens SiPass V2.70 이전 버전의 취약점으로 SiPass 통합 서버나 SiPass 통합 클라이언트로의 로컬 접근이 가능한 공격자가 시스템으로부터 크리덴셜을 취득할 수 있도록 해준다.

4. CVE-2017-12677
IdentityServer3 2.6.1 이전의 2.4.x, 2.5.x, 2.6.x 버전의 Angular 엑스프레션의 XSS 취약점으로 원격의 공격자들이 IdentityServer 인증 응답에 대한 민감한 정보를 취득할 수 있도록 해준다.

5. CVE-2017-12678
TagLib 1.11.1의 id3v2framefactory.cpp의 rebuildAggregateFrames의 취약점으로 원격의 공격자가 조작된 오디오 파일을 통하여 DoS 공격을 감행할 수 있도록 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>