CVE-2024-52067: Sensitive Data Exposed in Apache NiFi Debug Logs
2024/11/21 SecurityOnline — Apache NiFi で発見された脆弱性 CVE-2024-52067 は、バージョン 1.16.0〜1.28.0/2.0.0-M1〜2.0.0-M4 に影響を与えるものだ。このデータフロー・システムの脆弱性が悪用されると、センシティブなパラメータ値がデバッグ・ログで公開されるという想定外の処理が起こり、機密情報の漏洩へといたる可能性が生じる。
Apache NiFi は、フローベースのプログラミング概念に基づいた、データフロー・システムである。そこでサポートされる、パワフルでスケーラブルな有向グラフにより、データのルーティングや変換に加えて、システム仲介のロジックなどが実現する。また、NiFi が提供する Web ベースの UI により、データフローの設計/制御/評価/監視が容易になるという。
この脆弱性は、NiFi のフロー同期プロセス内で、オプションとして提供されるデバッグ・ログ機能に起因する。このログは、デフォルトでは無効化されているが、ログレベル変更の権限を持つ承認済みの管理者が、アプリケーション・ログ内のパラメータの名前と値を、誤って公開してしまうという可能性を生じる。
公式のセキュリティ通知が警告するのは、「Parameter Context 値には、アプリケーション・フローのコンフィグに応じて、機密情報が含まれる可能性がある。つまり、NiFi のコンフィグによっては、これらのデバッグ・ログを通じて、重要なデータが漏洩する可能性がある」という点である。
幸いなことに、デフォルトの Logback コンフィグ使用するデプロイメントは、この脆弱性の影響を受けない。しかし、標準以外のコンフィグを使用している場合は、早急な対応が求められる。
ユーザーに対して推奨される緩和策は、Apache NiFi 2.0.0/1.28.1 にアップグレードすることである。これらの最新バージョンでは、脆弱性 CVE-2024-52067 に対する効果的なパッチが適用され、Logback コンフィグに関係なく、フロー同期プロセスにおけるパラメータ値のログ記録が排除されている。
Apache NiFi の脆弱性が FIX しました。オプションとして提供されるデバッグ・ログに、機密情報が吐き出されてしまう欠陥があるとのことです。ただし、デフォルトのコンフィグでは、このオプションが OFF に設定されているようです。ご利用のチームは、ご確認ください。よろしければ、Apache NiFi で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.