CVE-2024-27438: Apache Doris Remote Command Execution Vulnerability
2024/03/21 SecurityOnline — Apache Doris 開発チームがリリースしたのは、人気のリアルタイム分析データベース・システムに存在する、2つの脆弱性に対処するセキュリティ・アップデートである。これらのセキュリティ欠陥の1つは Important と評価されており、影響を受けるシステム上で、攻撃者に悪意のコード実行を許す可能性が生じる。
脆弱性について
CVE-2024-26307 (深刻度:Low): この競合状態の脆弱性は、Apache Doris のバージョン 1.2.8/2.0.4 以前に存在する。悪用のリスクは低いと考えられるが、ファイルの改ざんという問題を引き起こす可能性がある。
CVE-2024-27438 (重要度:Important): この脆弱性は、1.2.0〜2.0.4 という広範囲のバージョンに影響を及ぼす。この脆弱性の悪用に成功した攻撃者は、任意のリモート jar ファイルのダウンロードを可能にし、 リモートコード実行への扉を開く。JDBC カタログを作成できる攻撃者が、この脆弱性を悪用すると、サーバ上で悪意のコード実行を引き起こす可能性が生じる。
アップデートの重要性
脆弱性 CVE-2024-27438 の深刻さを考慮すると、Apache Doris ユーザーに強く推奨されるのは、バージョン 2.0.5/2.1.x への迅速なアップグレードとなる。これらのリリースには、リモートコード実行の脆弱性を緩和するパッチが含まれている。
Apache Doris インストールの保護
アップデートに加えて、Apache Doris 管理者に推奨されるのは、以下のベストプラクティスに従うことである:
- アクセスの制限: JDBC カタログを作成できる権限を、信頼できるユーザに限定する。
- 異常な活動の監視: 予期しない JDBC カタログの作成や、不審なファイルのダウンロードに対して、ロギングと警告を実行する。
- 一般的なセキュリティ対策: 強力なファイアウォール・ルールを維持し、強固なパスワード・ポリシーを実施し、システムの全ての側面に対してセキュリティ・パッチを定期的に適用する。
つい先日の 2024/03/10 にも、「Apache Doris の脆弱性 CVE-2023-41313 が FIX:タイミング攻撃の可能性」という記事をポストしています。立て続けに、脆弱性が発生しているようです。よろしければ、Apache で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.