「Apache Flume」に脆弱性 - アップデートや回避策の実施を
ログ収集フレームワーク「Apache Flume」の開発チームは、脆弱性を解消した「同1.11.0」をリリースした。
「JMSSource」クラスにおいて「JNDI(Java Naming and Directory Interface)」を利用する際、信頼できないデータをデシリアライズする脆弱性「CVE-2022-42468」が明らかとなったもの。
具体的には「providerUrl」パラメータにおいて、検証を行わずに「JNDI」ルックアップを実行するため、脆弱性を悪用されるとリモートよりコードを実行されるおそれがあるという。
開発チームでは重要度を「中(Moderate)」とレーティングした。一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価している。
開発チームでは、10月24日にリリースした「同1.11.0」にて脆弱性を修正。アップデートを呼びかけるとともに、「同1.4.0」から「同1.10.1」までを利用する場合は「JMSSource」を使用しないよう求めている。
「同1.4.0」以降に関しては、これまでも脆弱性「CVE-2022-34916」が判明し、8月にリリースされた「同1.10.1」にて修正された。利用者はあわせて注意が必要となる。
(Security NEXT - 2022/11/04 )
ツイート
PR
関連記事
3.3万人宛てメールで誤送信、グループごとにメアド表示 - NHK
CMS脆弱性を突かれ改ざん被害、名古屋短大など複数サイトに影響
ランサム被害で個人情報流出、受注や出荷が停止 - メディカ出版
日本とシンガポール、IoT製品セキュラベル制度で相互承認
明星食品のInstagramアカウントが不正アクセス被害
3月初旬修正の「Cisco Secure FMC」脆弱性が攻撃対象に
「SharePoint」「Zimbra」の脆弱性悪用に注意 - 米当局が注意喚起
ウェブメール「Roundcube」に複数脆弱性 - アップデートを公開
「Node.js」のセキュリティ更新、3月24日に公開予定
個人情報含むUSBメモリを紛失、教頭を戒告処分 - 新潟県
