Critical Security Vulnerabilities Discovered in Apache Linkis: Users Urged to Upgrade Immediately
2024/08/05 SecurityOnline — 各種のデータ処理エンジンとアプリケーションを接続するのために、広く使用されている計算ミドルウェア Apache Linkis は、ユーザーを潜在的な攻撃にさらす可能性のある、2つの深刻なセキュリティ脆弱性に対処した。
Apache Linkis は、REST/WS/JDB C のような標準化されたインターフェースを介して、MySQL/Apache Spark/Apache Hive/Presto/Apache Flink などの多様なエンジンに対して、上位アプリケーションからアクセスするプロセスを簡素化するものだ。また、REST インターフェースを介して、データソースやメタデータ管理サービスも提供しており、多くの組織にとって重要なツールになっている。しかし、その Apache Linkis に、安全性を損なう可能性のある脆弱性が発見された。
CVE-2024-27181 (深刻度:Important)
1つ目の脆弱性は、Linkis の基本管理サービス・コンポーネントにおける権限昇格の欠陥に起因する。この脆弱性の悪用に成功した、信頼されたアカウントを持つ攻撃者は、機密トークン情報にアクセスできるようになり、接続されたシステムのセキュリティを脅かす可能性を手にする。
CVE-2024-27182 (深刻度:Important)
2つ目の脆弱性は、Linkis の基本管理サービスにも影響を及ぼす、任意のファイル削除の欠陥である。この脆弱性の悪用に成功した攻撃者は、Linkis のシステム・ユーザーがアクセス可能な任意のファイルの削除が可能となり、データ損失や重要な業務の中断を引き起こす可能性を得る。
これらの脆弱性は、Apache Linkis のバージョン 1.3.2 〜 1.5.0 に存在し、最新リリースである 1.6.0 で修正されている。
Apache Software Foundation は、脆弱性の詳細や攻撃が成功した場合の、潜在的な影響については明らかにしていない。しかし、これらの欠陥の重大な性質を考慮すると、Apache Linkis を使用している組織にとって重要なことは、可能な限り早急に、システムにパッチを適用することである。
Apache Linkis に脆弱性とのことです。さまざまなデータを連携させるための要ですので、ご利用のチームは、ご注意ください。なお、関連情報として 2024/07/15 の「Apache Linkis の脆弱性3件が FIX:RCE などが発生する恐れ」がありますでの、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.