CVE-2017-8301, CVE-2017-8302, CVE-2017-8307
CVE-2017-8308, CVE-2017-8305
[보안뉴스 문가용 기자] 현지 시각으로 4월 27일, 우리나라 시간으로는 대략 27일에서 28일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.
1. CVE-2017-8301
LibreSSL 2.5.1~2.5.3 버전의 SSL_get_verify_result의 취약점으로 TLS 인증서 확인 과정이 존재하지 않는다.
2. CVE-2017-8302
Mura CMS 7.0.6967의 admin/?muraAction=의 XSS 취약점으로 admin/core/views/carch/list.cfm, admin/core/views/carch/loadsiteflat.cfm, admin/core/views/cusers/inc/dsp_nextn.cfm, admin/core/views/cusers/inc/dsp_search_form.cfm, admin/core/views/cusers/inc/dsp_users_list.cfm, admin/core/views/cusers/list.cfm, admin/core/views/cusers/listusers.cfm과 관련이 있다.
3. CVE-2017-8307
Avast Antivirus v17 이전 버전의 취약점으로 미리 만들어진 바이너리를 실행하거나 임의의 파일을 교체 및 삭제가 가능하게 된다. CVE-2017-8308 취약점과 연계되어 사용이 가능하다. 공격자들이 DoS 공격을 할 수 있도록 해준다.
4. CVE-2017-8308
Avast Antivirus v17 이전 버전의 취약점으로 권한이 낮거나 없는 사용자가 임의의 프로세스를 ‘신뢰받을 만한’ 것으로 만들 수 있다. 이로써 2차, 3차 공격이 가능해진다.
5. CVE-2017-8305
UDFclient 0.8.8 이전 버전의 커스텀 stricpy implementation의 버퍼 오버플로우 취약점이다.
[국제부 문가용 기자(globoan@boannews.com)]
[출처] http://www.boannews.com/media/view.asp?idx=54549&kind=5#