[1.28 버그리포트] CVE-2016-2047 外

CVE-2016-2047, CVE-2015-6319, CVE-2015-6421
CVE-2016-1299, CVE-2016-1300

[보안뉴스 문가용] 현지 시각으로 1월 27일, 우리나라 시간으로는 대략 27일에서 28일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2016-2047
MariaDB 5.5.47 이전 버전, 10.0.23 이전의 10.0.x 버전, 10.1.10 이전의 10.1.x 버전과 오라클 MySQL, Percona Server에 있는 ssl_verify_server_cert function in sql-common/client.c의 취약점으로 X.509 인증서의 Common Name 혹은 subjectAltName 필드에서 서버 호스트네임과 도메인네임이 맞는지 확인하지 않는다. 이로써 "/CN=" 스트링을 통하여 SSL 서버를 스푸핑 하는 중간자 공격이 가능해진다.

2. CVE-2015-6319
시스코 RV220W 기기의 인터페이스 관리에 있는 SQL 인젝션 취약점으로 원격의 공격자가 임의의 SQL 명령어를 조작된 HTTP 요청 헤더를 통해 주입할 수 있게 해준다. Bug ID CSCuv29574와 같다.

3. CVE-2015-6421
시스코 Wide Area Application Service(WAAS)와 Virtual WAAS 기기 5.3.5d 이전의 5.x 버전과 5.5.3 이전의 5.4/5.5 버전의 CIFS 최적화 기능 내 cifs-ao에 있는 취약점으로 원격의 공격자가 DoS 공격을 할 수 있도록 해준다. Bug ID CSCus85330과 같다.

4. CVE-2016-1299
시스코 Small Business SG300 기기 1.4.1.x의 웹 관리 GUI에 있는 취약점으로 원격의 공격자가 조작된 HTTPS 요청을 통해 DoS 공격을 할 수 있도록 해준다. Bug ID CSCuw87174와 같다.

5. CVE-2016-1300
시스코 Unity Connection 10.5(2.3009)에 있는 XSS 취약점으로 원격의 공격자가 임의의 웹 스크립트나 HTML을 주입할 수 있도록 해준다. Bug ID CSCux82582와 같다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)