[5. 27 버그리포트] CVE-2015-7360 外

CVE-2015-7360, CVE-2016-1385, CVE-2016-0718
CVE-2016-3680, CVE-2016-3681

[보안뉴스 문가용] 현지 시각으로 5월 26일, 우리나라 시간으로는 대략 26일에서 27일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2015-7360
Fortinet FortiSandbox 2.1 이전 버전의 Web User Interface의 다수 XSS 취약점으로 원격의 공격자가 alerts/summary/profile/에의 시리얼 매개변수, csearch/report/export/에의 urlForCreatingReport 매개변수, analysis/detail/download/screenshot에의 id 매개변수 등을 통하여 임의의 웹 스크립트나 HTML을 주입할 수 있게 해준다.

2. CVE-2016-1385
시스코 Adaptive Security Appliance 소프트웨어 9.5.2 버전의 XML 파서에 있는 취약점으로 원격에서 승인된 사용자가 관리자 접근, Clienetless SSL VPN 접근을 통하여 DoS 공격을 할 수 있게 해준다. Bug ID CSCut14209와 동일하다.

3. CVE-2016-0718
Expat의 취약점으로 공격자가 잘못된 input 문서를 통하여 임의의 코드를 실행하거나 DoS 공격을 실행할 수 있게 해준다.

4. CVE-2016-3680
Huawei Mate 8 NXT-AL10C00B182 이전 버전의 NXT-AL, NXT-CL00C92B182 이전 버전의 NXT-CL, NXT-DL00C17B182 이전 버전의 NXT-DL, NXT-TL00C01B182 이전 버전의 NXT-TL에 있는 취약점으로 공격자들이 DoS 공격을 할 수 있게 해준다.

5. CVE-2016-3681
Huawei Mate 8 NXT-AL10C00B182 이전 버전의 NXT-AL, NXT-CL00C92B182 이전 버전의 NXT-CL, NXT-DL00C17B182 이전 버전의 NXT-DL, NXT-TL00C01B182 이전 버전의 NXT-TL의 와이파이 드라이버에 있는 버퍼오버플로우 취약점으로 공격자들이 DoS 공격을 할 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)