SECURITY

No Image

NTP 다중 취약점 보안 업데이트 권고

2015-10-26 KENNETH 0

□ 개요o NTP(Network Time Protocol)에서 발생한 원격코드실행 등 총 13개의 취약점을 보완한 보안 업데이트를 발표[1]o 공격자는 취약점에 영향 받는 시스템에 악의적인 명령어 실행 등의 피해를 발생시킬 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고 □ 설명o crypto-NAK을 통해 인증을 우회하는 취약점(CVE-2015-7871)o decodenetnum()함수에서 위조된 값에 대해 FAIL 반환하는 대신 오류 값을 발생하는 취약점(CVE-2015-7855) o 패스워드 길이 처리하는 과정에서 발생하는 메모리 손상 취약점(CVE-2015-7854)o refclock 드라이버에서 부적절한 데이터 길이로 인해 발생하는 버퍼오버플로우 취약점(CVE-2015-7853)o ntpq atoascii()함수에서 발생하는 메모리 손상 취약점(CVE-2015-7852)o saveconfig에서 발생하는 디렉토리 접근 취약점(CVE-2015-7851)o NTP의 원격 구성 기능에서 발생하는 DoS 취약점(CVE-2015-7850)o trusted key에서 발생하는 use-after-free 취약점(CVE-2015-7849)o 조작된 패킷에 의해 7 loop counter를 처리할 때, 발생할 수 있는 Out-Of-Bounds 취약점(CVE-2015-7848)o CRYPTO-ASSOC에서 발생하는 메모리 손상 취약점(CVE-2015-7701)o “pidfile”과 “driftfile”만 허용 가능한 디렉토리 접근 취약점(CVE-2015-7703)o timestamp 유효성 검사를 하는 클라이언트에서 발생할 수 있는 KoD 취약점(CVE-2015-7704, CVE-2015-7705)o autokey 데이터 패킷 길이 체크 시 발생하는 취약점(CVE-2015-7691, CVE-2015-7692, CVE-2015-7702) □ 영향 받는 소프트웨어o [ more… ]

No Image

2015년 10월 Oracle Critical Patch Update 권고

2015-10-22 KENNETH 0

□ 개요  o Oracle Critical Patch Update(CPU)는 Oracle사의 제품을 대상으로 다수의 보안 패치를 발표하는 주요 수단  o Oracle CPU 발표 이후, 관련 공격코드의 출현으로 인한 피해가 예상되는 바 Oracle 제품의 다중 취약점에 대한 패치를 권고    □ 설명  o 2015년 10월 Oracle CPU에서는 Oracle 자사 제품의 보안취약점 154개에 대한 패치를 발표[1]   □ 해당 소프트웨어  ㅇ Oracle Database Server, version(s) 11.2.0.4, 12.1.0.1, 12.1.0.2  ㅇ Mobile Server, version(s) 10.3.0.3, 11.3.0.2, 12.1.0.0  ㅇ Oracle Access Manager, version(s) 11.1.2.2, 11.1.2.3  ㅇ Oracle Business Intelligence Enterprise Edition, version(s) 11.1.1.7, 11.1.1.9  ㅇ Oracle Endeca Server, version(s) 7.3.0.0, 7.4.0.0, 7.5.1.1, 7.6.1.0.0  ㅇ Oracle Enterprise Data Quality, version(s) 8.1, 9.0, 11.1.1.7.4, 12.1.3.0.0  ㅇ Oracle Exalogic Infrastructure, version(s) EECS 2.0.6.2.3  ㅇ Oracle Fusion Middleware, version(s) 10.1.3.5, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.1, 11.1.2.2, 11.1.2.3, 12.1.2.0, 12.1.3.0  ㅇ Oracle GlassFish Server, version(s) 3.0.1, 3.1.2  ㅇ Oracle HTTP Server, version(s) 10.1.3.5, 11.1.1.7, [ more… ]

No Image

Apple(OS X, iOS, Watch) 보안 업데이트 권고

2015-10-22 KENNETH 0

□ 개요    o Apple社에서 자사 제품에 대해 다수의 취약점을 해결한 보안업데이트를 공지    o 공격자가 취약점을 이용하여 피해를 발생시킬 수 있어 해당 Apple 제품들을 사용하는 이용자들은 최신버전       으로 업데이트 권고 □ 대상 시스템 및 업데이트 내용 대상 시스템 업데이트된 소프트웨어 및 버전 OS X Yosemite v10.10.5, OS X El Capitan v10.11.1 및 이후 버전 OS X Server 5.0.15  OS X Yosemite v10.10.5 및 이후 버전 Xcode 7.1 OS X Mavericks v10.9.5 Mac EFI 보안 업데이트 2015-002 Windows 7 및 이후 버전 iTunes 12.3.1 OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 OS X El Capitan 10.11.1 및 보안 업데이트 2015-007 OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 Safari 9.0.1 Apple Watch Sport, Apple Watch, Apple Watch Edition, Apple Watch Hermes watchOS 2.0.1 iPhone 4s and later, iPad 2 및 [ more… ]

No Image

Microsoft Bounty Programs Expansion – .NET Core and ASP.NET Beta Bounty

2015-10-21 KENNETH 0

Today, I have another exciting expansion of the Microsoft Bounty Programs to announce. Please visit https://aka.ms/bugbounty to find out more. I’ll be discussing this new bounty in my talk at SyScan360 on October 21, 2015. We are delighted to offer a bounty for the .NET Core and ASP.NET Beta which Microsoft released earlier this month. .NET and ASP.NET represent critical building blocks in the Visual Studio Development Suite. This bounty is particularly interesting because the libraries and functions included in .NET enable developers to write their own programs with great security and stability, increasingly on many Operating Systems. This will extend to all supported platforms, initially including Linux and OS X, with some current exclusions to non-Windows platforms. You can find more information in the FAQs, .NET program terms and the .NET team’s blog. The highlights are as follows: .NET Core and ASP.NET Beta 8 and [ more… ]

No Image

Microsoft Bounty Programs Expansion – .NET Core and ASP.NET Beta Bounty

2015-10-20 KENNETH 0

Microsoft Bounty Programs Expansion – .NET Core and ASP.NET Beta Bounty Today, I have another exciting expansion of the Microsoft Bounty Programs to announce. Please visit https://aka.ms/bugbounty to find out more. I’ll be discussing this new bounty in my talk at SyScan360 on October 21, 2015. We are delighted to offer a bounty for the .NET Core and ASP.NET Beta which Microsoft released earlier this month. .NET and ASP.NET represent critical building blocks in the Visual Studio Development Suite. This bounty is particularly interesting because the libraries and functions included in .NET enable developers to write their own programs with great security and stability, increasingly on many Operating Systems. This will extend to all supported platforms, initially including Linux and OS X, with some current exclusions to non-Windows platforms. You can find more information in the FAQs, .NET program terms and the .NET team’s blog. The [ more… ]