OLAPデータストア「Apache Pinot」に脆弱性 - アクセス制御の設定を

分散型分析処理（OLAP）データストアである「Apache Pinot」に脆弱性が明らかとなった。アップデートが呼びかけられている。

現地時間7月24日にメーリングリストで「CVE-2024-39676」を公表したもの。「同1.0.0」より以前のバージョンにおいて、機密情報が漏洩するおそれがある。

具体的には、特定パスにアクセスすると、認証なしにシステムや稼働環境、構成などの機密情報を取得でき、特定のAPIなどへもアクセスされるおそれがある。

開発チームは同脆弱性について、重要度を4段階中、上から2番目にあたる「重要（Important）」とレーティングした。

開発チームは、2023年9月にリリースした「同1.0.0」以降にアップデートするとともに、同問題へ対処するようロールベースのアクセス制御（RBAC）において管理者ロールなどを追加し、アクセスの制御を行うよう求めている。

2024年3月には「同1.1.0」がリリースされている。将来リリースするバージョンでは、デフォルトにて管理者ロールを追加する予定だという。

（Security NEXT - 2024/07/29 ） ツイート

PR

関連記事

Apple、「iOS 16/15」向けにセキュリティ更新 - 悪用脆弱性を解消
役員の業務依頼を装うフィッシング攻撃で被害 - マリモHD
個人情報含むメールを外部関係者へ誤送信 - 工業所有権情報・研修館
Adobe、複数製品向けにアップデート - 深刻な脆弱性を修正
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
「AdGuard Home」に深刻な脆弱性 - 修正版が公開
海外子会社にサイバー攻撃、経路や影響を調査 - 河西工業
GitLab、セキュリティアップデートを公開 - 脆弱性15件に対応
Veeam製バックアップ管理ソフトに深刻な脆弱性 - アップデートが公開
前回更新から2日で「Chrome」がアップデート - ゼロデイ脆弱性を緊急修正