「Apache Kylin」にアップデート - 過去の修正がバイパス可能

10月にオープンソースの分散分析エンジン「Apache Kylin」のアップデートにて脆弱性が修正されたが、対策をバイパスされるおそれがあり、再度アップデートが実施された。

同プラットフォームでは、リモートよりコードを実行されるおそれがあるOSコマンドインジェクションの脆弱性「CVE-2022-24697」が判明。

開発チームでは、10月にリリースした「同4.0.2」においてブラックリストによりコマンドをフィルタリングすることで対処したが、ユーザーがパラメータを操作することで対策をバイパスできる脆弱性「CVE-2022-43396」が明らかとなった。

開発チームは、同脆弱性の重要度を「重要（Important）」とレーティング。米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「8.8」、重要度を「高（High）」と評価している。

開発チームでは、脆弱性への対処のほか、機能の追加や改善なども含まれる「同4.0.3」をリリースした。

（Security NEXT - 2023/01/10 ） ツイート

PR

関連記事

「NetScaler ADC/Gateway」にゼロデイ脆弱性 - 早急に更新を
「Chrome」にゼロデイ脆弱性、アップデート公開 - 軽減策の実施も
特権コマンド実行ツール「sudo」に重要度「クリティカル」の脆弱性
【特別企画】専門家13人が「生成AI時代」のセキュリティを多角的に解説
学童保育で利用料決定通知書1クラス分が所在不明に - 和歌山市
個人情報残存する「就職先情報リスト」を学生に共有 - 摂南大
法人の不正送金被害が約8.6倍 - 金額ベースで個人を上回る
テゲ宮崎の通販サイト、管理ページが認証なしで閲覧可能に
サイバー攻撃でシステム障害が発生 - ヤマダコーポレーション
「IBM WebSphere Application Server」にRCE脆弱性 - 暫定パッチ公開