본문 바로가기

취약점 정보1

Adobe 제품군 보안 업데이트 권고 □ 개요 o Adobe 社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표[1] o 낮은 버전을 사용중인 이용자는 제조사 홈페이지를 참고하여 최신 버전으로 업데이트 권고 □ 설명 o Adobe Experience Manager에서 입력값 검증이 미흡하여 발생하는 Stored XSS 취약점(CVE-2020-9732) 등 11개 [2] o Adobe Framemaker에서 메모리 경계값을 벗어난 읽기로 인해 발생하는 임의코드실행 취약점(CVE-2020-9726) 등 2개 [3] o Adobe InDesign에서 메모리 충돌로 인해 발생하는 임의코드실행 취약점(CVE-2020-9727) 등 5개 [4] □ 영향을 받는 버전 및 제품제품명플랫폼영향받는 버전해결 버전Adobe Experience Ma.. 더보기
MS 9월 보안 위협에 따른 정기 보안 업데이트 권고 □ 9월 보안업데이트 개요(총 12종) o 등급 : 긴급(Critical) 9종, 중요(Important) 2종, 보통(Moderate) 1종 o 발표일 : 2020.09.09.(수) o 업데이트 내용제품군중요도영향KB번호Windows 10 v2004, v1909, v1903, v1809, v1803, v1709긴급원격 코드 실행4570333 등 7개Windows Server 2019, 2016, Server Core 설치(2019, 2016, v2004, v1909, v1903)긴급원격 코드 실행4570333 등 5개Windows 8.1, Windows Server 2012 R2, Windows Server 2012긴급원격 코드 실행4577038 등 4개Internet Explorer긴급원격 코드 실행.. 더보기
WordPress File Manager 플러그인 보안 업데이트 권고 □ 개요 o WordPress의 File Manager 플러그인* 취약점을 해결한 보안 업데이트 발표 [1] o 영향 받는 버전을 사용중인 이용자는 최신버전으로 업데이트 권고 * File Manager 플러그인 : 관리자가 WordPress 웹페이지의 파일을 손쉽게 관리하기 위한 기능을 제공하는 플러그인 □ 설명 o File Manager 플러그인에서 특정 파일에 대한 접근 통제가 미흡하여 인증되지 않은 공격자가 Wordpress 웹페이지에서 원격코드를 실행할 수 있는 취약점 [1] □ 영향을 받는 제품 o WordPress 플러그인 - 6.0 ~ 6.8 버전 □ 해결 방안 o WordPress 플러그인 - 6.9 이상 버전으로 업데이트 [1] [참고사이트] [1] https://wordpress.org.. 더보기
Cisco 제품 보안 업데이트 권고 □ 개요 o Cisco 社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 o 낮은 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 조치 권고 □ 설명 o Cisco NX-OS Software의 Data Management Engine에서 입력값 검증이 미흡하여 조작된 메시지를 수신받는 경우 관리자 권한으로 임의코드실행이 가능한 취약점(CVE-2020-3415) [1] o Cisco Nexus 3000와 9000 Series Switches에서 특정 명령어에 대한 로직 에러로 인해 발생하는 권한상승 취약점(CVE-2020-3394) [2] o Cisco NX-OS Software에서 특정 파라미터에 대한 입력값 검증이 미흡하여 발생하는 명령어 삽입 취약점(CVE-2020-3454) [3].. 더보기
Apache HTTP Server 2.4 vulnerabilities mportant: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-9490) Apache HTTP Server versions 2.4.20 to 2.4.43 A specially crafted value for the 'Cache-Digest' header in a HTTP/2 request would result in a crash when the server actually tries to HTTP/2 PUSH a resource afterwards. Configuring the HTTP/2 feature via "H2Push off" will mitigate this vulnerability for unpatched servers... 더보기
BIND 업데이트 권고 The Internet Systems Consortium (ISC) has released security advisories that address vulnerabilities affecting multiple versions of ISC Berkeley Internet Name Domain (BIND). A remote attacker could exploit these vulnerabilities to cause a denial-of-service condition.The Cybersecurity and Infrastructure Security Agency (CISA) encourages users and administrators to review the following ISC advisori.. 더보기
Ericssonlg iPECS 권한 상승 취약점 □ 개요 o 에릭슨엘지社 iPECS 제품에서 취약한 인증 및 세션 관리로 인해 권한 상승 취약점 발생취약점 종류영향심각도CVSS 점수CVE ID취약한 인증 및 세션 관리권한 상승Medium6.5CVE-2020-7824 □ 설명 o iPECS 제품 관리를 위한 페이지에서 세션 값이 아닌 쿠키 값으로 인증하여 쿠키 값 변조를 통해 일반 사용자가 관리자 권한으로 권한 상승이 가능한 취약점(CVE-2020-7824) □ 영향 받는 제품 및 버전제품명버전iPECS UCM1.0.0~1.0.35 버전 2.0.0~2.10.14 버전 □ 해결 방안 o 취약한 버전의 제품 이용자는 1.0.36 또는 2.0.17 이상 버전으로 업데이트 실시 □ 참고 [1] http://www.ericssonlg.co.kr/ 더보기
Cisco 제품 취약점 보안 업데이트 권고 □ 개요 o Cisco社는 자사 제품의 취약점을 해결한 보안 업데이트 공지 [1] o 공격자는 해당 취약점을 이용하여 정보노출 등의 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고 □ 주요 내용 o Cisco ENCS 5400-W Series 및 CSP 5000-W Series에서 사용자 계정의 고정 PW가 기본값으로 설정된 정적 자격증명 취약점(CVE-2020-3446) [2] o Cisco Smart Software Manager On-Prem에서 권한 검증이 미흡하여 발생하는 권한상승 취약점(CVE-2020-3443) [3] o Cisco Video Surveillance 8000 Series IP Cameras에서 패킷을 처리할 때 검사가 누락되어 발생하.. 더보기
이노가드 Ebiz4u 전자계약 서비스의 원격 파일 다운로드 취약점 □ 개요 o 이노가드(INOGARD)의 Ebiz4u 전자계약 서비스에서 발생하는 원격 파일 다운로드 및 실행 취약점 취약점 종류 영향 심각도 CVSS 점수 CVE ID 원격 파일 다운로드 원격 파일 실행 High 8.8 CVE-2020-7831 □ 설명 o 이노가드 전자계약 시스템 Ebiz4u의 CViewer Object(AxECM.dll) 모듈에 존재하는 HttpDownload 함수를 이용하여 원격 파일을 다운로드 할 수 있는 취약점 (CVE-2020-7831) □ 영향 받는 제품 및 버전 제품명 버전 환경 (주)이노가드 Ebiz4u 전자계약 서비스(AxECM.dll) CViewer Object 1.0.5.1 Windows □ 해결 방안 o 취약점이 해결된 최신 보안 패치로 업데이트 적용(홈페이지 접속.. 더보기
핸디소프트 ActiveX 파일 다운로드 및 실행 취약점 □ 개요 o 핸디소프트社의 그룹웨어 ActiveX에서 발생하는 파일 다운로드 및 실행 취약점취약점 종류영향심각도CVSS 점수CVE ID파일 다운로드 및 실행코드 실행High8.8CVE-2020-7810 □ 설명 o 핸디소프트 그룹웨어 ActiveX의 업데이트 모듈에서 발생하는 파일 다운로드 및 실행 취약점 (CVE-2020-7803) o 공격자는 이용자가 조작된 웹 페이지로 접속하도록 유도하여 악성코드 감염 등의 피해를 발생시킬 수 있음 □ 영향 받는 제품 및 버전제품명버전환경hslogin2.dll6.7.8.4 이하 버전 7.3.4 이하 버전Windows □ 해결 방안 o 취약한 버전의 제품 이용자는 hslogin2.dll 파일을 6.7.8.9002 또는 7.3.4.1 이상 버전으로 설치 □ 참고 [1].. 더보기

티스토리툴바