[5.22 버그리포트] CVE-2012-1978 外

CVE-2012-1978, CVE-2015-0741, CVE-2015-0742

CVE-2015-3647, CVE-2015-3911

[보안뉴스 주소형] 현지 시각으로 5월 21일, 우리나라 시간으로는 대략 21일에서 22일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2012-1978

Simple PHP Agenda 2.2.8 이전버전에서 발견된 다수의 CSRF 취약점으로 공격자가 원격에서 1) auth/process.php에서 요청을 통해 관리자 추가, 2) auth/admin/adminprocess.php에서 요청에 의한 관리자 제거, 3) engine/new_event.php에서 요청을 통한 이벤트 추가, 4) phpagenda/에서 요청에 의한 이벤트 제거를 통해 관리자 권한을 납치할 수 있게 해줍니다.

2. CVE-2015-0741

Hosted Collaboration Solution (PC4HCS) 10.6(1) 이전 버전의 Cisco Prime Central에서 발견된 다수의 CSRF 취약점으로 공격자가 원격에서 임의의 사용자 권한을 납치할 수 있게 해줍니다. Bug ID CSCut04596와 동일합니다.

3. CVE-2015-0742

Cisco Adaptive Security Appliance (ASA) 소프트웨어 9.2(0.0), 9.2(0.104), 9.2(3.1), 9.2(3.4), 9.3(1.105), 9.3(2.100), 9.4(0.115), 100.13(0.21), 100.13(20.3), 100.13(21.9), and 100.14(1.1)의 PIM 애플리케이션으로 멀티캐스트 포워딩 제한이 제대로 실행되지 않게 해줍니다. 이는 공격자가 원격으로 멀티캐스트 패킷을 통해 서비스거부를 할 수 있게 해줍니다. Bug ID CSCus74398와 동일합니다.

4. CVE-2015-3647

wppa-ajax-front.php 및 WordPress의 WPPA 플러그인 6.1.3 이전 버전에서 발견된 다수의 XSS 취약점으로 공격자가 원격에서 1) comemail, 2) wppa do-comment action의 comname 매개변수를 통해 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해줍니다.

5. CVE-2015-3911

펌웨어를 갖고 있는 Huawei E587 모바일 무선인터넷에서 발견된 취약점으로 공격자가 원격에서 명시되지 않은 벡터를 통해 관리자를 우회하고, 환경설정을 바꾸고, 메시지를 전송하고, 서비스 거부를 할 수 있게 해줍니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)