• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

시스코, 취약점 대거 발견...신속한 패치 필요 2017.10.24

시스코, 정보노출·서비스거부·인증우회 통해 시스템 파일 삭제 등 취약점 발견

[보안뉴스 김경애 기자] 시스코는 자사 제품에 대해 다수의 취약점을 해결한 보안 업데이트를 공지했다.

[이미지=시스코 사이트 캡처화면]


이번에 발견된 취약점은 공격자가 악용해 피해를 발생시킬 수 있어 해당 시스코 제품 이용자들은 최신 버전으로 업데이트해야 한다.

△Cisco IOS XE 웹 프레임 워크에서 서버에 전달되는 매개변수 값에 대한 검증이 미흡하여 발생하는 XSS 취약점(CVE-2017-12272)
△Cisco IOS XE에서 로그파일을 기록할 때 디버그 오류로 인해 발생하는 정보 노출 취약점(CVE-2017-12289)
△Cisco Expressway Series 및 Cisco TelePresence Video Communication Server의 잘못된 클러스터 DB 인증 구성으로 인해 REST API 서비스 거부 취약점(CVE-2017-12287)

△Cisco Jabber 클라이언트 웹 인터페이스에서 공격자가 인증우회를 통해 사용자 프로필 정보를 검색할 수 있어 발생하는 정보 노출 취약점(CVE-2017-12284, CVE-2017-12286)
△Cisco Network Analysis Module의 웹 인터페이스에서 공격자가 인증우회를 통해 시스템 파일을 삭제할 수 있는 취약점(CVE-2017-12285)
△Cisco NX-OS에서 샌드박스 내 잘못된 구성의 함수로 인하여 공격자가 사용자 권한으로 로컬 운영체제에 접근이 가능한 취약점(CVE-2017-12301)

△Cisco NX-OS에서 샌드박스 내 잘못된 구성의 함수로 인하여 공격자가 사용자 권한으로 로컬 운영체제에 접근이 가능한 취약점(CVE-2017-12301)
△Cisco SPA300 및 SPA500 시리즈의 보안기능 미흡으로 인해인증되지 않은 공격자가 원격으로 접속할 수 있는 CSRF 취약점(CVE-2017-12271)
△Cisco Unified Contact Center Express의 웹 기반 관리 인터페이스에서 입력 값 검증 미흡으로 인해 발생하는 XSS 취약점(CVE-2017-12288)

△Cisco WebEx Meeting Center의 입력 값 검증 미흡으로 인해 발생하는 XSS 취약점(CVE-2017-12298)
△Cisco WebEx Meetings의 연결 수 제한으로 인해 발생하는 서버 서비스 거부 취약점(CVE-2017-12293)
△Cisco WebEx Meetings의 입력 값 검증 미흡으로 인해 발생하는 서버 XSS 취약점(CVE-2017-12296)

△Cisco Small Business SPA50x, SPA51x, SPA52x 시리즈의 Session Initiation Protocol 기능의 문제로 인해 발생하는 서비스 거부 취약점(CVE-2017-12259, CVE-2017-12260)
△Cisco FXOS 및 NX-OS에서 인증, 권한 부여 메시지 수신을 정상적으로 받지 못하여 발생하는 서비스 거부 취약점(CVE-2017-3883)
△Cisco Cloud Service Platform 2100의 웹 콘솔에서 비정상적인 URL 처리 방식으로 인해 발생하는 무단 Access 취약점(CVE-2017-12251)

△Cisco Nexus 시리즈 스위치에서 공격자가 사용자 권한으로 파일 정보를 노출시킬 수 있는 CLI 명령 주입 취약점(CVE-2017-6649)
△Cisco 다수 장비에서 발생하는 KRACK Wi-Fi 암호기술(WPA2) 취약점(CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-130866, CVE-2017-13087, CVE-2017-13088)

영향을 받는 제품 및 버전은 관련 사이트에 명시되어 있는 ‘Affected Products’을 통해 취약점을 확인하고, 운영자는 신속하게 패치를 적용해야 한다.

좀더 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)에 문의하면 된다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>