「Apache Calcite」の一部演算子処理に深刻な脆弱性

外部データソースへ接続してデータ管理システムを構築するためのフレームワークである「Apache Calcite」に深刻な脆弱性が明らかとなった。

同フレームワークにおいてSQL演算子「EXISTS_NODE」「EXTRACT_XML」「XML_TRANSFORM」「EXTRACT_VALUE」の処理に「XML外部実体参照（XXE）」に起因する脆弱性「CVE-2022-39135」が明らかとなったもの。

これらSQL演算子を用いたクライアントを公開している場合に脆弱性を悪用されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル（Critical）」とレーティングされている。

開発チームでは、現地時間9月10日にリリースした「Apache Calcite 1.32.0」にて同脆弱性を解消。対象となるSQL演算子において、文書型宣言やXML外部実体参照を無効化した。また同バージョンでは機能の追加やバグ修正などをあわせて実施している。

（Security NEXT - 2022/09/26 ） ツイート

PR

関連記事

米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性
メッセージブローカー「Apache ActiveMQ Artemis」に深刻な脆弱性
「Cisco Secure Firewall」に脆弱性 - 認証回避やRCEなど深刻な影響も
キヤノン複合機向けスキャンソフトに脆弱性 - アップデートを公開
「Chrome」にアップデート - 「クリティカル」含む脆弱性10件修正