製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ranger および SqlStdHiveAuthorization により保護されるクラスタの Apache Hive の認証フレームワークにおける親テーブルのアクセス制限を回避される脆弱性

タイトル	Ranger および SqlStdHiveAuthorization により保護されるクラスタの Apache Hive の認証フレームワークにおける親テーブルのアクセス制限を回避される脆弱性
概要	Ranger および SqlStdHiveAuthorization により保護されるクラスタの Apache Hive の認証フレームワークには、親テーブルのアクセス制限を回避される脆弱性が存在します。
想定される影響	攻撃者により、不特定のパーティションレベルのオペレーションを介して、親テーブルのアクセス制限を回避される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2015年9月29日0:00
登録日	2016年2月29日18:05
最終更新日	2016年3月3日16:50

影響を受けるシステム

Apache Software Foundation

Apache Hive 1.0.0

Apache Hive 1.0.1

Apache Hive 1.1.0

Apache Hive 1.1.1

Apache Hive 1.2.0

Apache Hive 1.2.1

Apache Hive 1.0.0

Apache Hive 1.0.1

Apache Hive 1.1.0

Apache Hive 1.1.1

Apache Hive 1.2.0

Apache Hive 1.2.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-7521	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7521
2	CVE-2015-7521	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7521
Mailing list archives
3	CVE-2015-7521: Apache Hive authorization bug disclosure	http://mail-archives.apache.org/mod_mbox/hive-user/201601.mbox/%3C20160128205008.2154F185EB%40minotaur.apache.org%3E
4	CVE-2015-7521: Apache Hive authorization bug disclosure	http://mail-archives.apache.org/mod_mbox/hive-user/201601.mbox/%3C20160128205008.2154F185EB%40minotaur.apache.org%3E
National Vulnerability Database (NVD)
5	CVE-2015-7521	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7521
6	CVE-2015-7521	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7521

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html
2	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

変更履歴

No	変更内容	変更日
0	[2016年02月29日] 掲載 [2016年03月03日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：CWE-ID を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-7521

概要	The authorization framework in Apache Hive 1.0.0, 1.0.1, 1.1.0, 1.1.1, 1.2.0 and 1.2.1, on clusters protected by Ranger and SqlStdHiveAuthorization, allows attackers to bypass intended parent table access restrictions via unspecified partition-level operations.
公表日	2016年1月30日5:59
登録日	2021年1月26日14:56
最終更新日	2024年11月21日11:36

影響を受けるソフトウェアの構成

No	URL	refsource	タグ
1	http://mail-archives.apache.org/mod_mbox/hive-user/201601.mbox/%3C20160128205008.2154F185EB%40minotaur.apache.org%3E
2	http://mail-archives.apache.org/mod_mbox/hive-user/201601.mbox/%3C20160128205008.2154F185EB%40minotaur.apache.org%3E
3	http://packetstormsecurity.com/files/135836/Apache-Hive-Authorization-Bypass.html
4	http://packetstormsecurity.com/files/135836/Apache-Hive-Authorization-Bypass.html
5	http://www.openwall.com/lists/oss-security/2016/01/28/12
6	http://www.openwall.com/lists/oss-security/2016/01/28/12
7	http://www.securityfocus.com/archive/1/537549/100/0/threaded
8	http://www.securityfocus.com/archive/1/537549/100/0/threaded