CVE-2023-46302: Critical Apache Submarine RCE Vulnerability
2023/11/19 SecurityOnline — Apache Submarine で発見された脆弱性 CVE-2023-46302 は、深刻なリモートコード実行 (RCE) を引き起こす可能性のあるものだ。この、End-to-End 機械学習 (ML) プラットフォームの脆弱性は、snakeyaml (CVE-2022-1471) のセキュリティ欠陥に起因しており、脆弱なシステム上での任意のコードを実行するものであり、 Apache Submarine ユーザーに深刻な脅威をもたらす。
Apache Submarine は JAXRS を利用して REST エンドポイントを定義しており、この定義はプラットフォーム内の様々なリクエスト/レスポンス処理において不可欠なものだ。特に YAML リクエスト (application/yaml コンテンツタイプで識別される) を具体的に処理するために、YamlEntityProvider エンティティ・プロバイダーが使用される。
この脆弱性の核心は、受信した YAML リクエストを、アンマーシャリングするように設計された関数 readFrom メソッドにある。 このプロセスは、submarine-server/server-core/src/main/java/org/apache/submarine/server/utils/YamlUtils.java で行われ、ユーザーが指定したデータを取り込んだ entityStream が渡される。
この重大なセキュリティの脅威に対して、Apache Submarine チームは速やかに対処し、解決策はバージョン更新という形で提供された。問題のコンポーネントである snakeyaml は、新しいバージョンで jackson-dataformat-yaml に置き換えられ、問題となっていた侵害は封じられた。
この脆弱性 CVE-2023-46302 は、Apache Submarine のバージョン 0.7.0〜0.7.2 に影響を及ぼすものだ。この深刻なセキュリティ問題に対処するために、ユーザーに対して推奨されるのは、必要な修正をカプセル化したバージョン 0.8.0 へのアップグレードである。
しかし、すぐに最新版にアップグレードできない場合には別の方法がある。該当する Pull Request (PR) を手動で選択し、submart-server イメージを再構築できる。この回避策は脆弱性を一時的に修正するものであり、ユーザーはセキュリティのレイヤーを追加した上で、機械学習の試みを続けることができる。
Apache Submarine について調べてみましたが、Wikipedia にはページがありませんでした。見つかったのは、dremio というサイトであり、「企業がストリーミング。データ処理とバッチデータ処理を統合するための、分散データ処理および分析プラットフォームである。 Apache Submarine により、ライブ データ・ストリーム上にリアルタイムな機械学習モデルを構築し、必要に応じてデータ処理操作を拡張できるま」と記されていました。それにしても、Wikipedia の Apache 一覧は、すごいですね。
IoT OT Security News 
You must be logged in to post a comment.