製品・ソフトウェアに関する情報

JVN脆弱性詳細

EMC Isilon OneFS における認可・権限・アクセス制御に関する脆弱性

Title	EMC Isilon OneFS における認可・権限・アクセス制御に関する脆弱性
Summary	EMC Isilon OneFS には、認可・権限・アクセス制御に関する脆弱性が存在します。
Possible impacts	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 8, 2017, midnight
Registration Date	Jan. 17, 2018, 4:17 p.m.
Last Update	Jan. 17, 2018, 4:17 p.m.

Affected System

DELL EMC (旧 EMC Corporation)

EMC Isilon OneFS 7.1.1.x

EMC Isilon OneFS 7.2.0.x

EMC Isilon OneFS 7.2.1.0 から 7.2.1.5

EMC Isilon OneFS 8.0.0.0 から 8.0.0.4

EMC Isilon OneFS 8.0.1.0 から 8.0.1.1

EMC Isilon OneFS 8.1.0.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-14380	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14380
National Vulnerability Database (NVD)
2	CVE-2017-14380	https://nvd.nist.gov/vuln/detail/CVE-2017-14380

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
DELL EMC
1	EMC Isilon OneFS	https://www.dellemc.com/ja-jp/storage/isilon/onefs-operating-system.htm

その他

No	Name	URL
関連文書
1	ESA-2017-153: EMC Isilon OneFS Privilege Escalation Vulnerability	http://seclists.org/fulldisclosure/2017/Dec/41

Change Log

No	Changed Details	Date of change
0	[2018年01月17日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2017-14380

Summary	In EMC Isilon OneFS 8.1.0.0, 8.0.1.0 - 8.0.1.1, 8.0.0.0 - 8.0.0.4, 7.2.1.0 - 7.2.1.5, 7.2.0.x, and 7.1.1.x, a malicious compliance admin (compadmin) account user could exploit a vulnerability in isi_get_itrace or isi_get_profile maintenance scripts to run any shell script as system root on a cluster in compliance mode. This could potentially lead to an elevation of privilege for the compadmin user and violate compliance mode.
Publication Date	Dec. 14, 2017, 5:29 a.m.
Registration Date	Jan. 26, 2021, 1:15 p.m.
Last Update	Nov. 21, 2024, 12:12 p.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://seclists.org/fulldisclosure/2017/Dec/41	Mailing List Third Party Advisory
2	http://seclists.org/fulldisclosure/2017/Dec/41	Mailing List Third Party Advisory
3	http://www.securityfocus.com/bid/102210	Third Party Advisory VDB Entry
4	http://www.securityfocus.com/bid/102210	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-269	不適切な権限管理	https://cwe.mitre.org/data/definitions/269.html