CVE-2024-39676: Apache Pinot Flaw Exposes Sensitive Data, Urgent Upgrade Needed
2024/07/26 SecurityOnline — リアルタイム分析プラットフォーム Apache Pinot に、深刻なセキュリティ脆弱性 CVE-2024-39676 (深刻度:important) が発見された。この脆弱性の悪用に成功した攻撃者は、権限を必要とせずに機密性の高いシステム情報へのアクセスが可能になり、データ漏洩やセキュリティ侵害につながる恐れが生じる。
この脆弱性 CVE-2024-39676 は、Apache Pinot における不正なアクセスの問題に起因する。Apache Pinot のコントローラの “/appConfigs” パスに対してリクエストが行われると、以下を含む機密情報が公開される可能性がある:
- システムの詳細:OS のバージョン/アーキテクチャなどのシステム仕様
- 環境データ: 最大ヒープサイズなどの環境変数
- Pinot のコンフィグレーション: Zookeeper のパスなどの内部情報
これらの情報を得ることで、攻撃者はターゲットのインフラを深く把握し、さらなる脆弱性や弱点を特定して悪用する機会を得る。
この脆弱性は、Apache Pinot バージョン 0.1〜0.9 に存在するが、すでにバージョン 1.0.0 で修正されている。このアップデートでは、Role-Based Access Control (RBAC) が導入され、機密性の高いエンドポイントや情報へのアクセスを、管理者が制限できるようになった。
Apache Pinot の全ユーザーに強く推奨されるのは、バージョン 1.0.0 へと直ちにアップグレードすることだ。さらに、アップグレード後に RBAC を設定し、”/appConfigs” などの機密性の高いエンドポイントに、許可されたユーザーだけがアクセスできるように設定する必要がある。
この脆弱性が悪用されると、甚大な被害が生じる可能性があるため、Apache は深刻度を “Important” としている。Pinot を利用するユーザー組織が、機密データやシステム設定を暴露されると、深刻な危機に直面する可能性がある。
コンフィグレーションに関連する脆弱性が多いですね。ご利用のチームは、ご注意ください。Apache Pinot は、このブログでは初登場です。なかなかオシャレな名前なので Wikipeda で調べたところ、「Java で記述されたカラム指向のオープンソース分散データストアであり、低レイテンシで OLAP クエリを実行するように設計されている。Pinot という名前は、さまざまなワインの生産で用いられる、ピノ・ブドウの木に由来している。このデータベースの創設者は、さまざまなファイル形式やストリーミング・データなどからの、膨大な量のデータを分析するための比喩として、この名前を選択したという」と紹介されていました。よろしければ、Apache で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.