「Apache Flume」に脆弱性 - アップデートや回避策の実施を

ログ収集フレームワーク「Apache Flume」の開発チームは、脆弱性を解消した「同1.11.0」をリリースした。

「JMSSource」クラスにおいて「JNDI（Java Naming and Directory Interface）」を利用する際、信頼できないデータをデシリアライズする脆弱性「CVE-2022-42468」が明らかとなったもの。

具体的には「providerUrl」パラメータにおいて、検証を行わずに「JNDI」ルックアップを実行するため、脆弱性を悪用されるとリモートよりコードを実行されるおそれがあるという。

開発チームでは重要度を「中（Moderate）」とレーティングした。一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル（Critical）」と評価している。

開発チームでは、10月24日にリリースした「同1.11.0」にて脆弱性を修正。アップデートを呼びかけるとともに、「同1.4.0」から「同1.10.1」までを利用する場合は「JMSSource」を使用しないよう求めている。

「同1.4.0」以降に関しては、これまでも脆弱性「CVE-2022-34916」が判明し、8月にリリースされた「同1.10.1」にて修正された。利用者はあわせて注意が必要となる。

（Security NEXT - 2022/11/04 ） ツイート

PR

関連記事

相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
ファンクラブ会員メールに他人氏名、事務局ミスで - 大阪ブルテオン
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
生活保護関連書類持ち帰り家庭ゴミとして処分、情報流出や未支給も - 旭川市
「セキュリティ10大脅威2026」発表 - 多岐にわたる脅威「AIリスク」が初選出
雑誌のアンケート回答者情報が流出した可能性 - DMMグループ出版社
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性