CVE-2024-39877: Apache Airflow Security Update Addresses Code Execution Vulnerability
2024/07/16 SecurityOnline — Apache が公開したのは、Airflow バージョン 2.4.0 ~ 2.9.2 に影響を及ぼす、RCE の脆弱性 CVE-2024-39877 に対処するためのセキュリティ・アップデートである。この脆弱性の悪用に成功した認証済みの DAG (Directed Acyclic Graph) 作成者は、スケジューラ・コンテキスト内での任意のコード実行を可能とし、Airflow 環境のセキュリティと完全性が損なわれる恐れがある。
この脆弱性は、Airflow が “doc_md” パラメータを処理する方法に起因しており、攻撃者による機密データへの不正アクセス/サービス運用妨害に加えて、Airflow システム全体の乗っ取りへといたる可能性が生じる。
すべての Apache Airflow 2.4.0 ~ 2.9.2 のバージョン・ユーザーは、この RCE に対して脆弱である。ワークフロー・オーケストレーションに、Airflow を利用しているユーザーに対して強く推奨されるのは、システムを保護するための早急な対応である。
すでに Apache Airflow チームは、バージョン 2.9.3 をリリースし、この脆弱性に対処している。したがって、この最新バージョンへのアップグレードが、悪用リスクを軽減する最も効果的な方法となる。このアップデートには、XSS の脆弱性 CVE-2024-39863 の修正も含まれているが、この脆弱性により、プロバイダのインストール中に、悪意のリンクが差し込まれる可能性がある。
Apache Airflow について、Wikipedia で調べたところ、「データ・エンジニアリングパ・イプライン用のオープンソースのワークフロー管理プラットフォームである。2014年10月に、Airbnb の複雑化するワークフローを管理するためのソリューションとして始まった。Airflow の開発により、Airbnb におけるワークフローの作成およびスケジューリングは、ビルトインの Airflow UI を介して監視できるようになった。このプロジェクトは当初からオープンソース化され、2016年3月に Apache Incubator プロジェクトになり、2019年1月には Apache Software Foundationのトップレベル・プロジェクトになった」と解説されていました。
IoT OT Security News 
You must be logged in to post a comment.