세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[8.16 버그리포트] CVE-2017-12855 外
  |  입력 : 2017-08-16 16:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CVE-2017-12855, CVE-2017-12862, CVE-2017-12863
CVE-2017-12864, CVE-2017-8665


[보안뉴스 문가용 기자] 현지 시각으로 8월 15일, 우리나라 시간으로는 대략 15일에서 16일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

[이미지 = iclickart]


1. CVE-2017-12855
Xen 4.9, 4.8, 4.7, 4.6, 4.5 버전의 _GTF_{read,writ}ing 비트에 있는 취약점으로 게스트로 로그인 사용자가 grant entry를 수정하거나 재사용할 수 있게 해준다. 혹은 너무 이르게 status 비트를 제거해 게스트 사용자가 grant를 다시 사용하는 게 가능해진다.

2. CVE-2017-12862
Opencv 3.3 혹은 이전 버전의 modules/imgcodecs/src/grfmt_pxm.cpp의 AutoBuffer _src의 길이가 예상보다 작은 취약점이다. 이 때 copy buffer overflow 현상이 발생할 수 있다. 이미지가 원격에서 오는 것이라면 원격 코드 실행 문제가 발생할 수 있다.

3. CVE-2017-12863
Opencv 3.3 혹은 이전 버전의 opencv/modules/imgcodecs/src/grfmt_pxm.cpp의 PxMDecoder::readData 함수의 정수 오버플로우 취약점으로 이미지가 원격에서 오는 것이라면 원격 코드 실행 문제가 발생할 수 있다.

4. CVE-2017-12864
Opencv 3.3 혹은 이전 버전의 opencv/modules/imgcodecs/src/grfmt_pxm.cpp의 ReadNumber 함수의 취약점으로, 입력값의 길이를 확인하지 않는다. 이 때문에 정수 오버플로우가 발생할 수 있고 원격 이미지 실행도 가능해진다.

5. CVE-2017-8665
macOS가 구동되는 시스템의 Xamarin.iOS 업데이트 요소의 취약점으로 공격자가 임의의 코드를 실행할 수 있도록 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)