la Nube | 라 누베

7월 10일에 PHP의 다중 보안 취약점에 대한 정보가 공개되었습니다. 악의의 원격 공격자로부터의 서비스 거부(DoS) 가능성, 공격자로부터의 PHP 인터프리터의 충돌 가능성, 공격자로부터의 PHP 인터프리터를 이용한 누설 가능성 등에 대한 보안 취약점입니다. 이 보안 취약점들은 각각 CVE-2017-11142, CVE-2017-11143, CVE-2017-11144, CVE-2017-11145, CVE-2017-11146, CVE-2017-11147, CVE-2016-10397으로 명명되었습니다. CVE-2017-11142 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11142 CVE-2017-11143 : http://cve.mitre.org/..

6월 12일에 QEMU의 보안 취약점 CVE-2017-9524에 대한 정보가 공개되었습니다. QEMU에 네트워크 블락 디바이스(NBD) 서버 지원으로 빌드를 하는 경우, 클라이언트의 nbd_negotiate () 함수와 통신이 이루어지기 전의 초기화 실패를 이용하여, 원격 공격자가 세그먼테이션 오류(Segmentation Fault) 또는 서버 크래시와 같은 서비스 거부(DoS)를 일으킬 수 있는 가능성이 있습니다. 데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) : 현재 최신버전인 qemu 1:2.8+dfsg-6 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable) 데비안 8 Jessie (OldStable) / 리..

6월 20일에 Xen (x86)의 다중 보안 취약점에 대한 정보가 공개되었습니다. 이 다중 보안 취약점은 다음과 같이 명명되었습니다.XSA-216: CVE-2017-10911 / XSA-217: CVE-2017-10912 / XSA-218: CVE-2017-10913, CVE-2017-10914 / XSA-219: CVE-2017-10915 / XSA-220: CVE-2017-10916 / XSA-221: CVE-2017-10917 / XSA-222: CVE-2017-10918 / XSA-223: CVE-2017-10919 / XSA-224: CVE-2017-10920, CVE-2017-10921, CVE-2017-10922 / XSA-225: CVE-2017-10923각 보안 취약점들은 게스트 OS 사..

7월 7일에 ncurses에 관한 다중 보안 취약점 CVE-2017-11112, CVE-2017-11113가 공개되었습니다. ncurses 6.0에는 tinfo/parse_entry.c의 append_acs() 함수에 0xffffffffffffffff로의 액세스가 있어 이를 통해 terminfo 라이브러리 코드가 신뢰할 수 없는 terminfo 데이터를 처리할 때 원격 서비스거부(DoS) 공격을 일으킬 가능성이 있습니다. 데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) : 현재 최신버전인 ncurses 6.0+20161126-1 에는 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable) 데비안 8 Jessie (OldSta..

7월 7일에 systemd에 관한 보안 취약점 CVE-2017-1000082가 공개되었습니다. v233 이전의 systemd에는 숫자로 시작하는 사용자 이름(예를 들어 0day)의 경우 권한을 안전하게 처리하는 기능에 문제가 있어, 0day로 시작해야 하는 서비스가 루트 권한으로 작동하게 됩니다. 데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) : 현재 최신버전인 systemd 232-25 에는 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable) 데비안 8 Jessie (OldStable) / 리눅스민트데비안에디션(LMDE) 2 : systemd 215-17+deb8u7 에서 보안 패치 완료 (fixed) 데비안 7 Wh..

2017년 7월 2일에 리눅스 커널의 보안 취약점에 대한 정보가 공개되었습니다. knfsd에 대한 DoS 및 시스템에 soft-lockup 가능성에 대한 보안 취약점으로, CVE-2017-8797로 명명되었습니다. 이 보안 취약점은 리눅스 커널 4.11.3까지 NFSv4의 원격 공격자로부터 UDP 패킷 중 GETDEVICEINFO와 LAYOUTGET 검증에 문제가 있으며, 이것 외에도 OOPS를 발생시켜 knfsd의 DoS를 일으키거나 시스템에 soft-lockup을 일으킬 가능성이 있습니다. 데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) 현재 최신 커널인 4.9.30-2+deb9u2 에서 보안 패치 완료 (fixed) 데비안 8 Jessie..

"Phoenix Talon" in Linux Kernel 취약점 이스트시큐리티 알약 블로그 http://blog.alyac.co.kr/1189 -- 다중 보안 취약점 : CVE-2017-8890, CVE-2017-9075, CVE-2017-9076, CVE-2017-9077 데비안에서는 위 다중 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) 현재 최신 커널인 4.9.30-2+deb9u2 에서 보안 패치 완료 (fixed) 데비안 8 Jessie (OldStable), 리눅스민트데비안에디션(LMDE) 2 현재 최신 커널인 3.16.43-2+deb8u2 에서 보안 패치 완료 (fixed) 데비안 7 Wheezy 현재 최신 커널인 3.2.89-2 에서 보안 패치 ..