Apache DolphinScheduler Hit by Severe CVE-2023-49299 Flaw
2023/12/31 SecurityOnline — 急速に進化するデータ・オーケストレーションの世界において、Apache DolphinScheduler は、複雑なデータ・ワークフローの処理方法に革命を起こす先駆者として登場した。DolphinScheduler のアジャイルでローコードな高性能ワークフロー機能と、堅牢なユーザー・インターフェイスで有名であり、データ・パイプラインの複雑なタスクの依存関係を巧みに管理し、数多くのジョブタイプを速やかに提供してきた。しかし、先日に発見された脆弱性により、セキュリティの堅牢性が試されている。
その脆弱性 CVE-2023-49299 の深刻度は important と評価されている。Apache DolphinScheduler における、この不適切な入力検証の脆弱性は、深刻なセキュリティの問題である。この脆弱性の悪用に成功した認証済みのユーザーは、サーバ上でサンドボックス化されていない任意の JavaScript の実行を可能にする。
この脆弱性は、Apache DolphinScheduler の3.1.9 までのバージョンに影響する。この脆弱性を特に憂慮すべき理由は、そのアクセスのレベルにある。この脆弱性を悪用する攻撃者が可能にするものには、重要なデータ・プロセスの中断/ワークフローの操作/機密データへのアクセスなどがある。
この脆弱性は、セキュリティ研究者である Eluen Siebene が発見したとされている。最も強力なツールであっても、問題が生じ得るという現実を、この脆弱性 CVE-2023-49299 は痛感させる。
この発見に対して、Apache DolphinScheduler チームは迅速に対応し、セキュリティと信頼に対するコミットメントを示した。ユーザーに対して強く推奨されるのは、この問題を修正したバージョン 3.1.9 にアップグレードすることである。このバージョンへのアップグレードは、単なる推奨ではなく、潜在的な悪用からデータ・ワークフローを保護するために必要なことである。
また、許可されたユーザーのみが、DolphinScheduler にアクセスできるようにし、不要な実行者を排除するための強固な認証手段も重要である。さらに、システムを監視して、不審な動きの有無をチェックし、新たな脅威について情報を得ることも重要である。
この年末は、Apache Superset や、Apache Struts、Apache OFBiz といった製品で、連続して脆弱性が発生しています。さらに言うと、Struts の脆弱性 CVE-2023-50164 は、Cisco や Adobe に影響を及ぼし、OFBiz の CVE-2023-49070 は Atlassian に影響を及ぼしています。Apache の脆弱性は、その広がりを考えると怖いですね。
IoT OT Security News 
You must be logged in to post a comment.