Apache Superset Patches Multi Security Flaws in Latest Release
2024/12/10 SecurityOnline — Apache Superset バージョン 4.1.0 のリリースにより、脆弱性 CVE-2024-53947/CVE-2024-53948/CVE-2024-53949 が修正された。この BI プラットフォームに存在する、脆弱性の悪用に成功した攻撃者は、セキュリティ制御の回避/機密データへのアクセス/不正な特権の入手などの可能性を得る。
CVE-2024-53947:SQL インジェクション脆弱性
特定の PostgreSQL 機能に関連する、不適切な SQL 認証チェックの脆弱性。この脆弱性を悪用する攻撃者は、Superset のセキュリティを回避し、任意の SQL クエリの実行を達成し、機密情報への不正アクセスやデータ漏洩などの可能性を手にする。
CVE-2024-53948:メタデータ漏えいの脆弱性
Superset が生成するエラー・メッセージの、過剰な冗長性に起因する脆弱性。特定の条件下において、これらのエラー・メッセージ内で、基盤となる分析データベースのメタデータが公開され、攻撃者に貴重な情報が提供されることで、さらなる悪用につながる可能性が生じる。
CVE-2024-53949:認証バイパスの脆弱性
FAB_ADD_SECURITY_API が有効化されている (デフォルトでは無効)、Superset デプロイメント影響を及ぼす脆弱性。この有効化により、API を悪用する低権限の攻撃者は、新しいロールの作成に続いて特権を昇格させ、機密性の高い機能への不正アクセスの可能性を手にする。
緩和策と修正策
すべてのユーザーに対して Apache Software Foundation が強く推奨するのは、バージョンへ 41.0 へと、速やかにアップグレードすることだ。このリリースには、3件の脆弱性に対処する包括的なパッチが取り込まれている。
アップグレードに加えて、ユーザーに推奨される緩和策は以下の通りだ:
- CVE-2024-53947 への対応:アップグレードが直ちに実行できない場合は、脆弱性のある PostgreSQL 関数 (
query_to_xml_and_xmlschema/table_to_xml/table_to_xml_and_xmlschema) を、手動でDISALLOWED_SQL_FUNCTIONSコンフィグ設定に追加する。 - CVE-2024-53949 への対応:
FAB_ADD_SECURITY_APIが明示的に必要とされない場合には、無効化されていることを確認する。
Apache Superset の3つの脆弱性が FIX しました。それぞれの CVSS 値を NVD でぢsらべたら、CVE-2024-53947 は CVE-N/A で、CVE-2024-53948 は 5.3 、CVE-2024-53949 は 7.6 と評価されていました。よろしければ、Apache Superset で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.