製品・ソフトウェアに関する情報

JVN脆弱性詳細

IBM InfoSphere BigInsights などの製品で使用される Apache HBase におけるサービス運用妨害 (DoS) の脆弱性

Title	IBM InfoSphere BigInsights などの製品で使用される Apache HBase におけるサービス運用妨害 (DoS) の脆弱性
Summary	IBM InfoSphere BigInsights およびその他の製品で使用される Apache HBase は、ZooKeeper コーディネーションステートに不正な ACL を使用するため、サービス運用妨害 (デーモン停止) 状態にされる、重要な情報を取得される、またはデータを変更される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html
Possible impacts	第三者により、不特定のクライアントトラフィックを介して、サービス運用妨害 (デーモン停止) 状態にされる、重要な情報を取得される、またはデータを変更される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 25, 2015, midnight
Registration Date	Dec. 24, 2015, 1:43 p.m.
Last Update	Dec. 24, 2015, 1:43 p.m.

Affected System

Apache Software Foundation

Apache Hbase 0.98.12.1 未満の 0.98

Apache Hbase 1.0.1.1 未満の 1.0

Apache Hbase 1.1.0.1 未満の 1.1

IBM

IBM InfoSphere BigInsights 2.0.0.0 3.0

IBM InfoSphere BigInsights 2.0.0.0 3.0.0.1

IBM InfoSphere BigInsights 2.0.0.0 3.0.0.2

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1836	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1836
Mailing list archives
2	CVE-2015-1836: Apache HBase remote denial of service, information integrity, and information disclosure vulnerability	http://mail-archives.apache.org/mod_mbox/www-announce/201505.mbox/%3CCA+RK=_CFiTfQ2d0V+kuJx_y5izmYccaKjXaJ3V72KK7tbOhbkg@mail.gmail.com%3E
National Vulnerability Database (NVD)
3	CVE-2015-1836	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1836

ベンダー情報

No	Name	URL
IBM Support Document
1	1969546	http://www-01.ibm.com/support/docview.wss?uid=swg21969546

Change Log

No	Changed Details	Date of change
0	[2015年12月24日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-1836

Summary	Apache HBase 0.98 before 0.98.12.1, 1.0 before 1.0.1.1, and 1.1 before 1.1.0.1, as used in IBM InfoSphere BigInsights 3.0, 3.0.0.1, and 3.0.0.2 and other products, uses incorrect ACLs for ZooKeeper coordination state, which allows remote attackers to cause a denial of service (daemon outage), obtain sensitive information, or modify data via unspecified client traffic.
Publication Date	Dec. 21, 2015, 8:59 p.m.
Registration Date	Jan. 26, 2021, 2:46 p.m.
Last Update	Nov. 21, 2024, 11:26 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:ibm:infosphere_biginsights:3.0.0.2:::::::*
cpe:2.3:a:ibm:infosphere_biginsights:3.0.0.0:::::::*
cpe:2.3:a:ibm:infosphere_biginsights:3.0.0.1:::::::*

Related information, measures and tools

No	URL	タグ
1	http://mail-archives.apache.org/mod_mbox/www-announce/201505.mbox/%3CCA+RK=_CFiTfQ2d0V+kuJx_y5izmYccaKjXaJ3V72KK7tbOhbkg%40mail.gmail.com%3E
2	http://mail-archives.apache.org/mod_mbox/www-announce/201505.mbox/%3CCA+RK=_CFiTfQ2d0V+kuJx_y5izmYccaKjXaJ3V72KK7tbOhbkg%40mail.gmail.com%3E
3	http://www.securitytracker.com/id/1034365
4	http://www.securitytracker.com/id/1034365
5	http://www-01.ibm.com/support/docview.wss?uid=swg21969546	Vendor Advisory
6	http://www-01.ibm.com/support/docview.wss?uid=swg21969546	Vendor Advisory
7	https://www.cloudera.com/documentation/other/security-bulletins/topics/csb_topic_1.html
8	https://www.cloudera.com/documentation/other/security-bulletins/topics/csb_topic_1.html

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html