「Apache Kylin」にアップデート - 過去の修正がバイパス可能

10月にオープンソースの分散分析エンジン「Apache Kylin」のアップデートにて脆弱性が修正されたが、対策をバイパスされるおそれがあり、再度アップデートが実施された。

同プラットフォームでは、リモートよりコードを実行されるおそれがあるOSコマンドインジェクションの脆弱性「CVE-2022-24697」が判明。

開発チームでは、10月にリリースした「同4.0.2」においてブラックリストによりコマンドをフィルタリングすることで対処したが、ユーザーがパラメータを操作することで対策をバイパスできる脆弱性「CVE-2022-43396」が明らかとなった。

開発チームは、同脆弱性の重要度を「重要（Important）」とレーティング。米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「8.8」、重要度を「高（High）」と評価している。

開発チームでは、脆弱性への対処のほか、機能の追加や改善なども含まれる「同4.0.3」をリリースした。

（Security NEXT - 2023/01/10 ）ツイート