728x90
Apache Brooklyn는 애플리케이션의 모델링 및 모니터링, 관리를위한 소프트웨어입니다.
Apache Brooklyn 다음의 여러 취약점이 존재합니다.
또한 이러한 취약점을 이용한 공격 코드가 확인되고 있습니다.
크로스 사이트 스크립팅 ( CWE-79 ) - CVE-2017-3165
| CVSS v3 | CVSS : 3.0 / AV : N / AC : L / PR : L / UI : R / S : C / C : L / I : L / A : N | Base Score : 5.4 |
| CVSS v2 | AV : N / AC : M / Au : S / C : N / I : P / A : N | Base Score : 3.5 |
사이트 간 요청 위조 ( CWE-352 ) - CVE-2016-8737
| CVSS v3 | CVSS : 3.0 / AV : N / AC : L / PR : N / UI : R / S : U / C : N / I : L / A : N | Base Score : 4.3 |
| CVSS v2 | AV : N / AC : H / Au : N / C : N / I : P / A : N | Base Score : 2.6 |
예상되는 영향은 각 취약점에 따라 다르지만 다음과 같은 영향을받을 수 있습니다.
- 사용자의 웹 브라우저에서 임의의 스크립트가 실행 문제점 (CVE-2017-3165)
- Apache Brooklyn 서버에 로그인 한 사용자가 만들어진 페이지를 볼 경우 사용자의 권한으로 의도하지 않은 작동을하게된다 (CVE-2016-8737)
개발자가 제공하는 정보를 바탕으로 Apache Brooklyn 0.10.0 이상으로 업데이트하십시오.
개발자에 따르면, Apache Brooklyn 0.10.0에서는 다음과 같은 대응을하고 있다는 것입니다.
- pull request # 35 : JS clean-up (CVE-2017-3165)
- pull request # 430 : Use CSRF headers and pull request # 37 : request and set the csrf header protection added to brooklyn server (CVE-2016-8737)
728x90
'취약점 정보2' 카테고리의 다른 글
| OpenSSL Security Advisory (0) | 2017.02.17 |
|---|---|
| 금주 취약점 정리 (0) | 2017.02.17 |
| Adobe 제품군 보안 업데이트 권고 (0) | 2017.02.15 |
| Security update available for Adobe Campaign (0) | 2017.02.15 |
| Security update available for Adobe Digital Editions (0) | 2017.02.15 |