CVE-2024-23945: Serious Vulnerability in Apache Hive and Spark Could Lead to Exploitation
2024/12/24 SecurityOnline — 大規模なデータ処理および分析に広く使用される2つのシステム、Apache Hive/Apache Spark において、新たな脆弱性 CVE-2024-23945 (CVSS:8.7) が発見された。この脆弱性は、CookieSigner メカニズムに影響を与え、メッセージの検証が失敗した場合に有効な Cookie 署名を露出するため、深刻なセキュリティリスクを引き起こす。つまり、この欠陥を突く攻撃者は、さらなるシステム悪用の可能性を得る。
脆弱性 CVE-2024-23945 は、Cookie の完全性を保護するために設計された、セキュリティ機能 CookieSigner コンポーネントに存在する。Apache の公式説明には、「Cookie への署名は、Cookie データにデジタル署名を追加し、その信頼性と完全性を検証するアプリケーション・セキュリティ機能である」と記されている。しかし、このケースでは、「カレント Cookie と、想定される Cookie 署名が、一致しない場合において、Apache Hive のサービス・コンポーネントが、署名済み Cookie を誤ってエンド・ユーザーに公開してしまう」と報告されている。
この正しいクッキー署名の偶発的な露出により、検証が失敗した場合であっても、攻撃者は有効なクッキーを偽造するための貴重な情報を取得し、セキュリティ対策を回避する可能性を得る。
この脆弱性は、Apache Hive/Apache Spark の広範なバージョンに影響を及ぼす:
- Apache Hive: 1.2.0~4.0.0 未満
- Apache Spark: 2.0.0~3.0.0 未満/3.0.0~3.3.4 未満/3.4.0~3.4.2 未満/3.5.0
脆弱性のあるコンポーネントとして挙げられるものには、org.apache.hive:hive-service、org.apache.spark:spark-hive-thriftserver_2.11、および org.apache.spark:spark-hive-thriftserver_2.12 などが含まれている。これらのコンポーネントは、ビッグデータの処理/分析で広く使用されている。
Apache Hive/Apache Spark を使用している組織に対して強く推奨されるのは、最新のパッチ適用済みバージョンへと、直ちにシステムを更新することである。それを怠ると、深刻なセキュリティ侵害のリスクにさらされる可能性が高くなる。
Apache Hive/Spark の脆弱性が FIX しました。クッキー絡みの欠陥なので、悪用されると甚大な被害に至る可能性があります。ご利用のチームは、ご注意ください。Hadoop が注目を浴び始めたころから、すでに Hive は存在していて、その後に Spark が登場するという順番だったと記憶しています。よろしければ、Qiita の「Hadoop関連の用語をざっくりまとめる Hive, Presto, Spark」を、ご参照ください。ビッグデータに関する系譜が一覧できます。
IoT OT Security News 
You must be logged in to post a comment.