「Apache Flume」に脆弱性 - アップデートや回避策の実施を
ログ収集フレームワーク「Apache Flume」の開発チームは、脆弱性を解消した「同1.11.0」をリリースした。
「JMSSource」クラスにおいて「JNDI(Java Naming and Directory Interface)」を利用する際、信頼できないデータをデシリアライズする脆弱性「CVE-2022-42468」が明らかとなったもの。
具体的には「providerUrl」パラメータにおいて、検証を行わずに「JNDI」ルックアップを実行するため、脆弱性を悪用されるとリモートよりコードを実行されるおそれがあるという。
開発チームでは重要度を「中(Moderate)」とレーティングした。一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価している。
開発チームでは、10月24日にリリースした「同1.11.0」にて脆弱性を修正。アップデートを呼びかけるとともに、「同1.4.0」から「同1.10.1」までを利用する場合は「JMSSource」を使用しないよう求めている。
「同1.4.0」以降に関しては、これまでも脆弱性「CVE-2022-34916」が判明し、8月にリリースされた「同1.10.1」にて修正された。利用者はあわせて注意が必要となる。
(Security NEXT - 2022/11/04 )
ツイート
PR
関連記事
海外拠点を直接支援するセキュサービスを拡充 - KDDIとラック
「PowerDNS Recursor」にDNSキャッシュポイズニングの脆弱性
「Cisco ISE」「PaperCut NG/MF」の脆弱性狙う攻撃に注意
「Cisco ISE」の複数脆弱性を狙う攻撃が発生 - 早急に対処を
サイトDBより個人情報流出の可能性 - リゾート施設運営会社
2Q「JVN iPedia」登録は1万件超 - 98.7%が「NVD」情報
Bitnamiの一部「Helm Chart」に脆弱性 - 機密情報漏洩のおそれ
セミナー申込フォーム、確認設定から他者が閲覧可能に - 山口県
日本語学習支援施設のサイトが改ざん被害 - 横浜市
フォームで個人情報が閲覧可能に、社内共有時のミスで - スーパーチェーン