CVE-2023-51784 & 51785: Two Critical Security Flaws in Apache InLong
2024/01/03 SecurityOnline — Apache InLong は、現代企業の血管を流れる情報の奔流を利用することに長けた、先駆的なフレームワークとして登場した。ワンストップ・ソリューションとして設計された Apache InLong は、大規模なデータ統合を効率的に管理し、データの取り込みや同期からサブスクリプションにいたるまでの、幅広い機能を提供するものだ。同フレームワークは、高度なデータ分析やリアルタイム・アプリケーションの構築に不可欠な機能である、バッチとストリームの両方のデータ処理をサポートする点で際立っている。最近、その Apache InLong に、新たな複数の脆弱性が見つかった。
CVE-2023-51784:Apache InLong Manager のリモート・コード実行の脆弱性
CVE-2023-51784 は、Apache InLong Manager に存在するリモート・コード実行 (RCE:Remote Code Execution) の脆弱性であり、深刻度は Important と評価されている。この、コード生成の不適切な制御 (コード・インジェクション) に起因する欠陥は、バージョン 1.5.0〜1.9.0 に影響を及ぼす。
脆弱性 CVE-2023-51784 の悪用に成功した攻撃者は、リモートで任意のコード実行が可能となり、InLong が管理するデータの完全性とセキュリティに対して、重大なリスクをもたらす。この脅威を軽減するためには、Apache InLong 1.10.0 へのアップグレードもしくは、cherry-pick solution の実装が強く推奨される。
CVE-2023-51785:Apache InLong Manager の任意のファイル読み取りの脆弱性
2つ目の脆弱性 CVE-2023-51785 は、Apache InLong Manager における任意ファイル読み取りの脆弱性である。この脆弱性は、信頼できないデータのデシリアライゼーションに起因するもので、1.7.0〜1.9.0 のバージョンに影響を与える。
このシナリオでは、攻撃者は MySQL ドライバを悪用して任意のファイル読み取り攻撃を実行し、機密データへの不正アクセスを得る可能性がある。Apache InLong のバージョン 1.10.0 へのアップグレードもしくは、特定の修正プログラムの選択が推奨される。
今すぐアップグレードを!
これらの脆弱性は、どちらも最新の InLong 1.10.0 で修正されているため、早急なアップグレードが推奨される。直ちにパッチを実施できない場合には、特定の InLong バージョンに対して、cherry-pick solution を適用することも可能である。
Apache InLong について調べてみたところ、「Apache InLong は、データの取得/同期/サブスクリプションをサポートする、大規模データのためのワンストップのフルシナリオ統合フレームワークであり、自動で安全かつ信頼性の高いデータ送信機能を提供する」と記されていました。現時点では、Wikipedia にもページがないことから、比較的に新しいソリューションなのだと推測できます。
IoT OT Security News 
You must be logged in to post a comment.