CVE-2017-17509, CVE-2017-11463, CVE-2017-17512
CVE-2017-17523, CVE-2017-17536

[보안뉴스 문가용 기자] 현지 시각으로 12월 10일, 우리나라 시간으로는 대략 10일에서 11일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2017-17509
HDF5 1.10.1 버전의 libhdf5.a의 H5Gcache.c의 H5G__ent_decode_vec 함수의 아웃오브바운드 취약점으로, 조작된 hdf5 파일을 통해 시스템 마비를 일으킬 수 있다.

2. CVE-2017-11463
LANDESK Management Suite 2016.4 버전과 2017.x 버전의 Unrestricted Direct Object Reference의 referencing/updating의 취약점이다.

3. CVE-2017-17512
sensible-utils 0.0.11 이전 버전의 sensible-browser의 취약점으로 프로그램을 시작하기 전에 strings를 확인하지 않는다. 이로써 원격의 공격자들이 argument-injection 공격을 조작된 URL을 통해 할 수 있게 된다.

4. CVE-2017-17523
LilyPond 2.19.80 버전의 lilypond-invoke-editor의 취약점으로 프로그램을 시작하기 전에 strings를 확인하지 않는다. 이로써 원격의 공격자들이 argument-injection 공격을 조작된 URL을 통해 할 수 있게 된다.

5. CVE-2017-17536
Phabricator 2017-11-10 이전 버전의 취약점으로 —config와 —debugger 플래그를 차단하지 않는다. 이 때문에 원격의 공격자들이 임의의 코드를 실행할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>