製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の EMC VNX 製品の SMB サービスにおける任意のコードを実行される脆弱性

Title	複数の EMC VNX 製品の SMB サービスにおける任意のコードを実行される脆弱性
Summary	EMC VNXe、VNX1 File OE、および VNX2 File OE の SMB サービスは、NTLM チャレンジレスポンスのナンスの重複を阻止しないため、任意のコードを実行される、またはファイルを読み書きされる脆弱性が存在します。本脆弱性は、CVE-2010-0231 に関連する問題です。
Possible impacts	第三者により、一連の認証リクエストを介して、任意のコードを実行される、またはファイルを読み書きされる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Sept. 19, 2016, midnight
Registration Date	Sept. 27, 2016, 3:51 p.m.
Last Update	Sept. 27, 2016, 3:51 p.m.

Affected System

DELL EMC (旧 EMC Corporation)

EMC Celerra ソフトウェアすべてのサポートバージョン

EMC VNX1 File OE ソフトウェア 7.1.80.3 未満

EMC VNX2 File OE ソフトウェア 8.1.9.155 未満

EMC VNX5200

EMC VNX5400

EMC VNX5600

EMC VNX5800

EMC VNXe ソフトウェアすべてのサポートバージョン

EMC VNXe1600

EMC VNXe3100

EMC VNXe3150

EMC VNXe3200

EMC VNXe3200 ハイブリッド

EMC VNXe3300

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-0917	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0917
National Vulnerability Database (NVD)
2	CVE-2016-0917	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0917

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
EMC Corporation
1	EMC VNXファミリー	https://www.emc.com/ja-jp/storage/vnx.htm

その他

No	Name	URL
関連文書
1	ESA-2016-096: EMC Celerra, VNX1, VNX2 and VNXe SMB NTLM Authentication Weak Nonce Vulnerability	http://seclists.org/bugtraq/2016/Sep/32

Change Log

No	Changed Details	Date of change
0	[2016年09月27日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-0917

Summary	The SMB service in EMC VNXe (VNXe3200 Operating Environment prior to 3.1.5.8711957 and VNXe3100/3150/3300 Operating Environment prior to 2.4.4.22638), VNX1 File OE before 7.1.80.3, VNX2 File OE before 8.1.9.155, and Celerra (all supported versions) does not prevent duplicate NTLM challenge-response nonces, which makes it easier for remote attackers to execute arbitrary code, or read or write to files, via a series of authentication requests, a related issue to CVE-2010-0231.
Publication Date	Sept. 21, 2016, 11:59 a.m.
Registration Date	Jan. 26, 2021, 2:04 p.m.
Last Update	Nov. 21, 2024, 11:42 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://seclists.org/bugtraq/2016/Sep/32	Third Party Advisory
2	http://seclists.org/bugtraq/2016/Sep/32	Third Party Advisory
3	http://www.securityfocus.com/archive/1/539993/30/0/threaded
4	http://www.securityfocus.com/archive/1/539993/30/0/threaded
5	http://www.securityfocus.com/bid/93023
6	http://www.securityfocus.com/bid/93023
7	http://www.securitytracker.com/id/1036843
8	http://www.securitytracker.com/id/1036843

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html