製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

OpenAFS の ptserver/ptprocs.c の newEntry 関数におけるアクセス制限を回避される脆弱性

タイトル	OpenAFS の ptserver/ptprocs.c の newEntry 関数におけるアクセス制限を回避される脆弱性
概要	OpenAFS の ptserver/ptprocs.c の newEntry 関数には、アクセス制限を回避され、任意のグループを管理者として作成される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html
想定される影響	無関係な Kerberos レルムからリモート認証されたユーザにより、作成者 ID の誤った処理を利用されることで、アクセス制限を回避され、任意のグループを管理者として作成される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年3月16日0:00
登録日	2016年5月20日17:06
最終更新日	2016年5月20日17:06

CVSS3.0 : 警告
スコア	6.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

CVSS2.0 : 警告
スコア	4
ベクター	AV:N/AC:L/Au:S/C:N/I:P/A:N

影響を受けるシステム

Debian

Debian GNU/Linux 8.0

OpenAFS

OpenAFS 1.6.17 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-2860	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2860
National Vulnerability Database (NVD)
2	CVE-2016-2860	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2860

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Debian Security Advisory
1	DSA-3569	https://www.debian.org/security/2016/dsa-3569
OpenAFS
2	OpenAFS 1.6.17 (Security Release)	https://www.openafs.org/dl/openafs/1.6.17/RELNOTES-1.6.17
3	OPENAFS-SA-2016-001 group creation by foreign users	http://git.openafs.org/?p=openafs.git;a=commitdiff;h=396240cf070a806b91fea81131d034e1399af1e0
OpenAFS Security Advisory
4	OPENAFS-SA-2016-001	http://www.openafs.org/pages/security/OPENAFS-SA-2016-001.txt
OpenAFS-announce
5	OpenAFS security release 1.6.17 available	https://lists.openafs.org/pipermail/openafs-announce/2016/000496.html

変更履歴

No	変更内容	変更日
0	[2016年05月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-2860

概要	The newEntry function in ptserver/ptprocs.c in OpenAFS before 1.6.17 allows remote authenticated users from foreign Kerberos realms to bypass intended access restrictions and create arbitrary groups as administrators by leveraging mishandling of the creator ID.
公表日	2016年5月14日1:59
登録日	2021年1月26日14:09
最終更新日	2024年11月21日11:48

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openafs:openafs::::::::			1.6.16

構成2		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:8.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://git.openafs.org/?p=openafs.git%3Ba=commitdiff%3Bh=396240cf070a806b91fea81131d034e1399af1e0
2	http://git.openafs.org/?p=openafs.git%3Ba=commitdiff%3Bh=396240cf070a806b91fea81131d034e1399af1e0
3	http://www.debian.org/security/2016/dsa-3569
4	http://www.debian.org/security/2016/dsa-3569
5	http://www.openafs.org/pages/security/OPENAFS-SA-2016-001.txt		Vendor Advisory
6	http://www.openafs.org/pages/security/OPENAFS-SA-2016-001.txt		Vendor Advisory
7	https://lists.openafs.org/pipermail/openafs-announce/2016/000496.html
8	https://lists.openafs.org/pipermail/openafs-announce/2016/000496.html
9	https://www.openafs.org/dl/openafs/1.6.17/RELNOTES-1.6.17
10	https://www.openafs.org/dl/openafs/1.6.17/RELNOTES-1.6.17

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html