Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Flume」に脆弱性 - アップデートや回避策の実施を

ログ収集フレームワーク「Apache Flume」の開発チームは、脆弱性を解消した「同1.11.0」をリリースした。

「JMSSource」クラスにおいて「JNDI(Java Naming and Directory Interface)」を利用する際、信頼できないデータをデシリアライズする脆弱性「CVE-2022-42468」が明らかとなったもの。

具体的には「providerUrl」パラメータにおいて、検証を行わずに「JNDI」ルックアップを実行するため、脆弱性を悪用されるとリモートよりコードを実行されるおそれがあるという。

開発チームでは重要度を「中(Moderate)」とレーティングした。一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価している。

開発チームでは、10月24日にリリースした「同1.11.0」にて脆弱性を修正。アップデートを呼びかけるとともに、「同1.4.0」から「同1.10.1」までを利用する場合は「JMSSource」を使用しないよう求めている。

「同1.4.0」以降に関しては、これまでも脆弱性「CVE-2022-34916」が判明し、8月にリリースされた「同1.10.1」にて修正された。利用者はあわせて注意が必要となる。

(Security NEXT - 2022/11/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Microsoft Streaming Service」の脆弱性に対する攻撃に注意
小学校サイト掲載の学級通信に要配慮個人情報 - 豊田市
「Security Days Spring」、3月に東名阪で順次開催
顧客向け案内メールを「CC」送信 - トヨタツーリスト
県立高校で生徒の個人情報含む出席簿を紛失 - 埼玉県
個人情報含む労働力調査関係書類を紛失 - 群馬県
個情委、四谷大塚に行政指導 - 子どもを守るため特に注意必要
税関の入国者申告データが消失 - アプリ改修作業のエラー対応ミスで
公立保育園のUSBメモリ、車上荒らしで盗難 - 福井市
Ivanti、「外部整合性チェックツールICT」の機能強化版を公開