「Apache Kylin」にアップデート - 過去の修正がバイパス可能
10月にオープンソースの分散分析エンジン「Apache Kylin」のアップデートにて脆弱性が修正されたが、対策をバイパスされるおそれがあり、再度アップデートが実施された。
同プラットフォームでは、リモートよりコードを実行されるおそれがあるOSコマンドインジェクションの脆弱性「CVE-2022-24697」が判明。
開発チームでは、10月にリリースした「同4.0.2」においてブラックリストによりコマンドをフィルタリングすることで対処したが、ユーザーがパラメータを操作することで対策をバイパスできる脆弱性「CVE-2022-43396」が明らかとなった。
開発チームは、同脆弱性の重要度を「重要(Important)」とレーティング。米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「8.8」、重要度を「高(High)」と評価している。
開発チームでは、脆弱性への対処のほか、機能の追加や改善なども含まれる「同4.0.3」をリリースした。
(Security NEXT - 2023/01/10 )
ツイート
PR
関連記事
教員名簿で年齢を削除せずにサイトで誤掲載 - 山形大
避難行動要支援者への同意書を誤送付、生成データに齟齬 - 伊丹市
委託先サーバから卒業生の個人情報が流出 - 国武大
個人情報を不正取得、漏洩した職員を懲戒免職 - 二本松市
倉庫管理システムに不正アクセス、関係者情報が流出か - マツダ
「Chrome」アップデート、クリティカル含む脆弱性26件を修正
「Oracle Fusion Middleware」に深刻なRCE脆弱性 - 早急に対応を
CiscoやAppleなど脆弱性6件を悪用リストに追加 - 米当局
先週注目された記事(2026年3月15日〜2026年3月21日)
3.3万人宛てメールで誤送信、グループごとにメアド表示 - NHK
