세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
시스코, 보안 취약점 대거 발견...업데이트 필수
  |  입력 : 2017-12-02 20:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
원격코드 실행, 서비스거부, 권한상승, XSS, 인증우회 등 취약점 발견
시스코 제품 이용자, 패치 적용된 최신 버전으로 업데이트 해야


[보안뉴스 김경애 기자] 글로벌 보안업체 시스코(Cisco)가 자사 제품에 대해 다수의 취약점을 해결한 보안 업데이트를 공지했다. 이에 따라 해당 시스코 제품을 사용하는 이용자들은 최신 버전으로 업데이트하는 것이 바람직하다.

▲시스코 취약점 패치 관련 화면[이미지=시스코]


이번에 발견된 취약점은 다음과 같다.
△Cisco Unified Computing System Manager, Firepower 9000 시리즈 장비에서 CGI 스크립트에서 HTTP 요청 검증 미흡으로 인해 발생하는 원격코드 실행 취약점(CVE-2015-6435)
△Wi-Fi Protected Access에서 발생하는 KRACK Wi-Fi 암호기술(WPA2) 취약점(CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082)
※ 일부 취약점(CVE-2017-13086, CVE-2017-13087 및 CVE-2017-13088) 추후 패치 예정
△Cisco NX-OS의 TCP Netstack에서 TCP 패킷이 부적절하게 처리되어 발생하는 서비스거부 취약점(CVE-2015-0718)
△Cisco Secure Access Control System의 웹 인터페이스에서 HTTP 요청 검증 미흡으로 인해 발생하는 원격코드 실행 취약점(CVE-2017-12354)
△Cisco Application Policy Infrastructure Controller에서 부팅 시 설치되는 시스템 스크립트 파일에 대한 사용자 제어 권한 검증 미흡으로 인해 발생하는 권한 상승 취약점(CVE-2017-12352)
△Cisco Meeting Server에서 URI 정보노출로 인해 발생하는 서비스거부 취약점(CVE-2017-12362)
△Cisco Unified Communications Manager에서 웹 인터페이스에서 발생하는 XSS취약점(CVE-2017-12357)
△Cisco Email Security Appliance의 AsyncOS에서 Multipurpose Internet Mail Extensions Header 값에 대한 잘못된 오류처리로 인해 발생하는 취약점(CVE-2017-12353)
△Cisco FXOS, NX-OS에서 CLI 명령 검증 미흡으로 인해 발생하는 취약점(CVE-2017-12329, CVE-2017-12334, CVE-2017-12335, CVE-2017-12339)
△Cisco IOS XR 소프트웨어에서 Local Packet Transport Serveices에서 XML 요청 검증 미흡으로 인해 발생하는 서비스거부 취약점(CVE-2017-12355)
△Cisco IP Phone 8800에서 Session Initiation Protocol 호출 처리 오류로 인해 발생하는 서비스거부 취약점(CVE-2017-12328)
△Cisco Jabber 클라이언트(윈도우, 맥, 안드로이드 및 iOS 용)의 웹 인터페이스에서 발생하는 XSS 취약점(CVE-2017-12356, CVE-2017-12358)
△Cisco Jabber의 Secure Sockets Layer 연결에 대한 난수 생성 방식에서 발생하는 정보 노출 취약점(CVE-2017-12361)
△Cisco Nexus Series Switch에서 CLI 명령 검증 미흡으로 인해 발생하는 취약점(CVE-2017-12330)
△Cisco NX-OS 시스템에서 서명 검증 미흡으로 인해 발생하는 인증우회 취약점(CVE-2017-12331)
△Cisco NX-OS 시스템의 패치 설치과정에서 발생하는 권한상승 취약점(CVE-2017-12332)
△Cisco NX-OS 시스템의 Guest Shell 기능에서 발생하는 인증 우회 취약점(CVE-2017-12351)
△Cisco NX-OS 시스템에서 이미지를 불러올 때 발생하는 인증 우회 취약점(CVE-2017-12333)
△Cisco NX-OS 시스템에서 TCL 스크립트 검증 미흡으로 인해 발생하는 인증 우회 취약점(CVE-2017-12336)
△Cisco NX-OS 시스템에서 CLI 명령 검증 미흡으로 인해 발생하는 정보 노출 취약점(CVE-2017-12338)
△Cisco NX-OS 시스템의 패치 설치과정에서 발생하는 원격코드 실행 취약점(CVE-2017-12341)
△Cisco Nexus 시리즈 스위치에서 Open Agent Container기능 내부의 결함으로 인해 발생하는 원격코드 실행 취약점(CVE-2017-12342)
△Cisco Prime Service Catalog의 웹 프레임워크에서 SQL 쿼리 검증 미흡으로 인해 발생하는 취약점(CVE-2017-12364)
△Cisco Multilayer Director, Nexus 7000 Series, Nexus 7700 시리즈 스위치의 Python 스크립트 샌드박스에서 발생하는 Bash 쉘 인증우회 취약점(CVE-2017-12340)
△Cisco UCS Central의 웹 인터페이스에서 발생하는 XSS, 인증우회 취약점(CVE-2017-12348)
△Cisco WebEx Meeting Server에서 발생하는 권한상승 취약점(CVE-2017-12363)
△Cisco WebEx Event Center에서 쿼리 검증 미흡으로 인해 발생하는 정보노출 취약점(CVE-2017-12365)
△Cisco WebEx Meeting Center에서 HTTP 트래픽 제어 오류로 인해 발생하는 URL 리다이렉션 취약점(CVE-2017-12297)
△Cisco WebEx Meeting Center에서 파라미터에 검증 미흡으로 인해 발생하는 XSS 취약점(CVE-2017-12266)
△Cisco WebEx Networking Recording Player에서 조작된 Advanced Recording Format(.arf) 파일 실행을 통해 발생하는 BOF 취약점(CVE-2017-12359)
△Cisco WebEx Networking Manager에서 파라미터 검증 미흡으로 인해 발생하는 XSS 취약점(CVE-2017-12343)
△Cisco WebEx Networking Recording Player에서 조작된 Advanced Recording Format, WebEx Recording Format 파일 실행을 통해 발생하는 취약점(CVE-2017-12367, CVE-2017-12368, CVE-2017-12369, CVE-2017-12370, CVE-2017-12371, CVE-2017-12372)이다.

영향을 받는 제품과 버전은 참고 사이트에 명시되어 있는 ‘Affected Products’을 통해 취약한 제품을 확인할 수 있다.

취약점이 발생한 시스코 소프트웨어가 설치된 시스코 장비의 운영자는 해당사이트에 명시되어 있는 ‘Affected Products’ 내용을 확인해 패치를 적용하는 것이 바람직하다.

좀더 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)에 문의하면 된다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)