CVE-2024-47561: Critical Flaw in Apache Avro Java SDK Allows Arbitrary Code Execution
2024/10/03 SecurityOnline — Apache Avro Java SDK に、深刻なセキュリティ脆弱性 CVE-2024-47561 が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を得る。この脆弱性は、Avro Java SDK のバージョン 1.11.4 未満に影響を及ぼす。
Apache Avro はデータ・シリアライゼーション・システムであり、数多くのデータ・パイプラインやストリーミング・アプリケーションで広範に利用されている。Avro が人気を博している理由は、効率的なバイナリ・データ形式や、進化するスキーマへの対応に加えて、Java/Python/C++/JavaScript などの幅広い言語互換性にある。
この脆弱性は、Java SDK のスキーマ解析機能の欠陥に起因する。この欠陥を悪意する攻撃者は、Avro データを作成して脆弱なシステムで解析させることで、任意のコード実行をトリガーできる。その結果として、システム侵害/データ侵害/サービス拒否攻撃の可能性が生じる。
すでに Apache Avro チームは、Java SDK のバージョン 1.11.4/1.12.0 をリリースし、この脆弱性に対処している。すべてのユーザーに対して強く推奨されるのは、これらのバージョンへと直ちにアップグレードすることだ。
この脆弱性を発見してApache Avro プロジェクトに開示したのは、Databricks セキュリティ・チームの Kostya Kortchinsky である。
Apache Avro に依存している組織は、特に Java SDK を利用している組織は、システムへのパッチ適用を優先し、悪用のリスクを軽減する必要がある。更新を遅滞すると、深刻なセキュリティ侵害にさらされ、壊滅的な結果を招く可能性が生じる。
Apache Avro ですが、ググってみると数多くの日本語コンテンツが見つかるので、国内でも広く使われているような気がします。ご利用のチームは、ご注意ください。なお、Qiita の「Avroについて調べてみた」という記事は、簡潔でイイ感じです。よろしければ、Apache で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.