[4.30 버그리포트] CVE-2015-1321 外

CVE-2015-1321, CVE-2015-1322 CVE-2015-1397

CVE-2015-1398, CVE-2015-1399

[보안뉴스 문가용] 현지 시각으로 4월 29일, 우리나라 시간으로는 대략 29일에서 30일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들 중 다섯 개입니다.

1. CVE-2015-1321

Oxide 1.6.5 이전 버전의 파일 피커에서 발견된 UAF 취약점입니다. 이 취약점을 악용하면 원격에서 DoS 공격이 가능하며 임의의 코드를 실행하는 것도 가능해집니다.

2. CVE-2015-1322

Ubuntu 네트워크 관리 패키지에서 발견된 디렉토리 접근 취약점입니다. 0.9.10.0-4ubuntu15.1 이전 버전, 0.9.8.8-0ubuntu28.1 이전의 Ubuntu 14.10, 0.9.8.8-0ubuntu7.1 이전의 Ubuntu 14.04 LTS에서 발견됩니다. 로컬의 사용자가 모뎀의 환경설정을 변경시키거나 파일이름 내에 있는 ..(점 두 개)를 통해 엉뚱한 파일을 작동시킬 수 있습니다.

3. CVE-2015-1397

마젠토 커뮤니티 에디션 1.9.1.0과 엔터프라이즈 에디션 1.14.1.0의 Mage_Adminhtml_Block_Widget_Grid 클래스에 들어있는 getCsvFile 함수에서 발견된 SQL 인젝션 취약점입니다. 원격의 관리자가 popularity[from]과 popularity[to] 매개변수가 설정되었을 때 popularity[field_expr] 매개변수를 통해 SQL 명령을 실행할 수 있게 해줍니다.

4. CVE-2015-1398

마젠토 커뮤니티 에디션 1.9.1.0과 엔터프라이즈 에디션 1.14.1.0에서 발견된 다량의 디렉토리 접근 공격 취약점입니다. 원격에서 특정 PHP 파일을 삽입하거나 실행할 수 있게 해주는데 이때 통하는 경로는 다음과 같습니다.

1) PATH_INFO에서 index.php로 향하는 ..(점 두 개) 시퀀스

2) Adminhtml 모듈 내 __directive 매개변수에 있는 블록 값과 연관이 있는 벡터들

주의 : 벡터는 설정된 권한의 범위를 넘지 않을 수도 있습니다. 관리자가 이미 코드 실행 및 파일 업로드 권한을 가지고 있을 가능성이 높기 때문입니다.

5. CVE-2015-1399

마젠토 커뮤니티 에디션 1.9.1.0과 엔터프라이즈 에디션 1.14.1.0의 Mage_Core_Block_Template_Zend 클래스에 있는 fetchView 함수 내에서 발견된 PHP RFI 취약점입니다. 원격의 관리자가 임의의 PHP 코드를 등록되지 않은 벡터 내 URL을 통하여 실행시킬 수 있게 되며, 이 때 setScriptPath라는 함수가 연동이 됩니다.

주의 : 이 문제로 권한 설정이 변경이 되는지는 아직 밝혀지지 않고 있습니다. 관리자 대부분에게는 임의의 파일을 포함시킬 수 있는 권한이 기본으로 존재하기 때문입니다.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)