CVE-2015-5740, CVE-2015-6961, CVE-2015-15600
CVE-2015-15601, CVE-2015-15602

[보안뉴스 문가용 기자] 현지 시각으로 10월 18일, 우리나라 시간으로는 대략 18일에서 19일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2015-5740
Go 1.4.3 이전 버전의 net/http/transfer.go의 net/http 라이브러리의 취약점으로 HTTP 헤더들을 제대로 분석하지 않는다. 이로써 원격의 공격자들이 HTTP 요청 스머글링 공격을 실시할 수 있게 된다.

2. CVE-2015-6961
Web2py 2.9.11의 gluon/tools.py의 open redirect 취약점으로 원격의 공격자들이 사용자들을 임의의 웹사이트로 우회시킬 수 있게 해준다.

3. CVE-2017-15600
GNU Libextractor 1.4 버전의 plugins/nsf_extractor.c의 EXTRACTOR_nsf_extract_method 함수의 NULL Pointer Dereference 취약점이다.

4. CVE-2017-15601
GNU Libextractor 1.4 버전의 plugins/png_extractor.c의 EXTRACTOR_png_extract_method 함수의 힙 베이스 오버플로우 취약점이다.

5. CVE-2017-15602
GNU Libextractor 1.4 버전의 plugins/nsfe_extractor.c의 EXTRACTOR_nsfe_extract_method 함수의 정수 서명 오류다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>