NVD Vulnerability Detail

CVE-2015-7521

Summary	The authorization framework in Apache Hive 1.0.0, 1.0.1, 1.1.0, 1.1.1, 1.2.0 and 1.2.1, on clusters protected by Ranger and SqlStdHiveAuthorization, allows attackers to bypass intended parent table access restrictions via unspecified partition-level operations.
Publication Date	Jan. 30, 2016, 5:59 a.m.
Registration Date	Jan. 26, 2021, 2:56 p.m.
Last Update	Nov. 21, 2024, 11:36 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://mail-archives.apache.org/mod_mbox/hive-user/201601.mbox/%3C20160128205008.2154F185EB%40minotaur.apache.org%3E
2	http://mail-archives.apache.org/mod_mbox/hive-user/201601.mbox/%3C20160128205008.2154F185EB%40minotaur.apache.org%3E
3	http://packetstormsecurity.com/files/135836/Apache-Hive-Authorization-Bypass.html
4	http://packetstormsecurity.com/files/135836/Apache-Hive-Authorization-Bypass.html
5	http://www.openwall.com/lists/oss-security/2016/01/28/12
6	http://www.openwall.com/lists/oss-security/2016/01/28/12
7	http://www.securityfocus.com/archive/1/537549/100/0/threaded
8	http://www.securityfocus.com/archive/1/537549/100/0/threaded

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html

JVN Vulnerability Information

Ranger および SqlStdHiveAuthorization により保護されるクラスタの Apache Hive の認証フレームワークにおける親テーブルのアクセス制限を回避される脆弱性

Title	Ranger および SqlStdHiveAuthorization により保護されるクラスタの Apache Hive の認証フレームワークにおける親テーブルのアクセス制限を回避される脆弱性
Summary	Ranger および SqlStdHiveAuthorization により保護されるクラスタの Apache Hive の認証フレームワークには、親テーブルのアクセス制限を回避される脆弱性が存在します。
Possible impacts	攻撃者により、不特定のパーティションレベルのオペレーションを介して、親テーブルのアクセス制限を回避される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Sept. 29, 2015, midnight
Registration Date	Feb. 29, 2016, 6:05 p.m.
Last Update	March 3, 2016, 4:50 p.m.

Affected System

Apache Software Foundation

Apache Hive 1.0.0

Apache Hive 1.0.1

Apache Hive 1.1.0

Apache Hive 1.1.1

Apache Hive 1.2.0

Apache Hive 1.2.1

Apache Hive 1.0.0

Apache Hive 1.0.1

Apache Hive 1.1.0

Apache Hive 1.1.1

Apache Hive 1.2.0

Apache Hive 1.2.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-7521	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7521
2	CVE-2015-7521	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7521
Mailing list archives
3	CVE-2015-7521: Apache Hive authorization bug disclosure	http://mail-archives.apache.org/mod_mbox/hive-user/201601.mbox/%3C20160128205008.2154F185EB%40minotaur.apache.org%3E
4	CVE-2015-7521: Apache Hive authorization bug disclosure	http://mail-archives.apache.org/mod_mbox/hive-user/201601.mbox/%3C20160128205008.2154F185EB%40minotaur.apache.org%3E
National Vulnerability Database (NVD)
5	CVE-2015-7521	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7521
6	CVE-2015-7521	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7521

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html
2	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

Change Log

No	Changed Details	Date of change
0	[2016年02月29日] 掲載 [2016年03月03日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：CWE-ID を追加	Feb. 17, 2018, 10:37 a.m.