Security Vulnerabilities in Apache Linkis Expose Systems to Arbitrary File Reading and RCE
2024/07/15 SecurityOnline — アプリケーションとデータエンジンを接続するために使用される、人気の計算ミドルウェア Apache Linkis の DataSource モジュールで発見された、3つの脆弱性に対応するセキュリティ・パッチがリリースされた。これらの脆弱性 CVE-2023-41916/CVE-2023-46801/CVE-2023-49566 の悪用に成功した攻撃者は、任意のファイルの読み取りや、リモート・コード実行に加えて、JNDIインジェクション攻撃を仕掛ける機会を得るという。
脆弱性の内容
- CVE-2023-41916 (Important): この脆弱性は、DataSourceManager モジュールにおける不適切なパラメータ・フィルタリングに起因し、任意のファイルの読み取りにいたる可能性を持つ。悪意の MySQL JDBC パラメータを設定することで、悪用にいたる可能性が生じる。
- CVE-2023-46801 (Moderate): MySQL データソースを追加する際に用いる、データソース管理モジュールに、リモートコード実行の脆弱性が存在する。具体的に言うと、Java バージョン 1.8.0_241 以前には、JRMP を経由したデシリアライズ攻撃の脆弱性が存在するため、サーバ上で悪意のファイルの注入/実行が可能になる。
- CVE-2023-49566 (Important): 不適切なパラメータ・フィルタリングが原因となり、DataSource Manager モジュールで DB2 パラメータを設定する際に、JNDI インジェクションの脆弱性が発生する可能性がある。
緩和の緊急性
この3件の脆弱性を悪用する前提として、攻撃者は認証された Linkis アカウントを持っている必要がある。ただし、機密ファイルへの不正アクセス/リモートコード実行/JNDI インジェクションなどの可能性が生じるため、データの整合性とシステム・セキュリティに重大なリスクが生じる。
Apache Linkis プロジェクトは、すべてのユーザーに対して強く推奨しているのは、バージョン 1.6.0 への迅速なアップグレードである。この更新バージョンには、一連の脆弱性を修正するパッチが含まれているため、上記のリスクが軽減される。
このブログでは初登場の Apache Linkis ですが、文中の図を見ると、いろんなところで活用されていそうな感じがします。ご利用のチームは、ご注意ください。よろしければ、Apache で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.