[9.30 버그리포트] CVE-2016-4386 外

CVE-2016-4386, CVE-2016-6636, CVE-2016-6637
CVE-2016-6647, CVE-2016-6651

[보안뉴스 문가용] 현지 시각으로 9월 29일, 우리나라 시간으로는 대략 29일에서 30일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2016-4386
HPE Network Automation Software 10.10의 취약점으로 로컬의 사용자가 임의의 파일을 쓸 수 있도록 해준다.

2. CVE-2016-6636
Pivotal Cloud Foundry(PCF) 242 이전 버전, 2.7.4.7 이전의 UAA 2.x 버전, 3.3.0.5 이전의 3.x 버전, 3.4.4 이전의 3.4.x 버전, 11.5 이전의 UAA BOSH 버전, 12.5 이전의 12.x 버전, 1.6.40 이전의 Elastic Runtime 버전, 1.7.21 이전의 1.7.x 버전, 1.8.1 이전의 1.8.x 버전, 1.7.13 이전의 Ops Manager 1.7.x 버전, 1.8.1 이전의 1.8.x 버전의 취약점으로 redirect_uri subdomains를 잘못 처리한다. 이로써 원격의 공격자들이 토큰에 접근할 수 있게 된다.

3. CVE-2016-6637
Pivotal Cloud Foundray(PCF) 242 이전 버전, 2.7.4.7 이전의 UAA 2.x 버전, 3.3.0.5 이전의 3.x 버전, 3.4.4 이전의 3.4.x 버전, 11.5 이전의 UAA BOSH 버전, 12.5 이전의 12.x 버전, 1.6.40 이전의 Elastic Runtime 버전, 1.7.21 이전의 1.7.x 버전, 1.8.1 이전의 1.8.x 버전, 1.7.13 이전의 Ops Manager 1.7.x 버전, 1.8.1 이전의 1.8.x 버전의 CSRF 취약점으로, 원격의 공격자들이 인증 과정을 하이재킹하는 게 가능해진다.

4. CVE-2016-6647
EMC ViPR SRM 4.0.1 이전 버전의 XSS 취약점으로, 원격에서 인증된 사용자가 임의의 웹 스크립트나 HTML을 주입하는 게 가능해진다.

5. CVE-2016-6651
Pivotal Cloud Foundray(PCF) 242 이전 버전, 2.7.4.7 이전의 UAA 2.x 버전, 3.3.0.5 이전의 3.x 버전, 3.4.4 이전의 3.4.x 버전, 11.5 이전의 UAA BOSH 버전, 12.5 이전의 12.x 버전, 1.6.40 이전의 Elastic Runtime 버전, 1.7.21 이전의 1.7.x 버전, 1.8.1 이전의 1.8.x 버전, 1.7.13 이전의 Ops Manager 1.7.x 버전, 1.8.1 이전의 1.8.x 버전의 UAA /oauth/token 엔드포인트의 취약점으로 원격에서 인증된 사용자가 높은 권한을 가져갈 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)