[1.25 버그리포트] CVE-2016-1570 外

CVE-2016-1570, CVE-2016-1571, CVE-2016-1572
CVE-2015-6317, CVE-2015-7417

[보안뉴스 문가용] 현지 시각으로 1월 22일, 우리나라 시간으로는 대략 22일에서 23일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2016-1570
Xen 3.4.0, 3.4.1, 4.1.x에서 4.6.x까지 버전에 있는 arch/x86/mm.c의 PV superpage 기능에 있는 취약점으로 로컬의 PV 게스트가 민감한 정보를 탈취하고, DoS 공격을 감행하며, 권한을 얻게 해준다. 또한 조작된 페이지 아이덴티파이어를 통해 (1) MMUEXT_MARK_SUPER, (2) HYPERVISOR_mmuext_op hypercall 내에 있는 MMUEXT_UNMARK_SUPER, (3) 아직 알려지지 않은 페이지에 또 다른 영향을 주는 게 가능해진다.

2. CVE-2016-1571
Xen 3.3.x부터 4.6.x까지 버전에 있는 include/asm-x86/paging.h 내 paging_invlpg 함수에 있는 취약점으로 그림자 모드를 사용하거나 네스팅된 가상화를 활성화시키면 로컬 HVM 게스트 사용자가 DoS 공격을 할 수 있게 해준다.

3. CVE-2016-1572
eCryptfs-utils의 mount.ecryptfs_private.c에 있는 취약점으로 mount destination filesystem 유형을 확인하지 않는다. 이 때문에 로컬의 사용자가 비표준 파일시스템을 마운팅함으로써 권한을 취득할 수 있게 된다.

4. CVE-2015-6317
시스코의 Identity Services Engine 2.0 이전 버전에 있는 취약점으로 원격에서 승인을 얻은 사용자가 직접 요청을 통하여 웹 리소스 접근 제한 기능을 우회할 수 있게 해준다. Bug ID CSCuu45926과 같다.

5. CVE-2015-7417
IBM WebSphere Application Server 7.0.0.41 이전의 7.0 버전, 8.0.0.12 이전의 8.0 버전, 8.5.5.9 이전의 8.5 버전에 있는 XSS 취약점으로 원격에서 승인을 얻은 사용자가 OAuth 제공자로부터 임의의 웹 스크립트나 HTML을 주입할 수 있도록 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)