CVE-2024-23953 and CVE-2024-29869: Apache Hive Patches Two Important Security Flaws
2025/01/30 SecurityOnline — 先日に Apache Hive プロジェクトが公表したのは、データ・レイク・システムへの侵害を攻撃者に許す可能性のある、2つの深刻なセキュリティ脆弱性への対処の完了である。ビッグ・データ環境の基盤として多用される Apache Hive は、大規模なデータセットに対する、SQL ベースの分析を可能にするという重要な役割を果たすものだ。その Hive Metastore (HMS) は、メタデータのセンタライズされたリポジトリとして機能するため、運用の妨害や機密情報への不正アクセスを試みる攻撃者の、主要なターゲットにされている。
この2件の脆弱性 CVE-2024-23953/CVE-2024-29869 は、Apache Hive の各バージョンに影響を及ぼすため、放置すると深刻なセキュリティ侵害の可能性が生じる。
CVE-2024-23953:LLAP タイミング攻撃
この脆弱性により、Hive の LLAP (Live Long and Process) コンポーネントのタイミング・サイドチャネルの悪用が、攻撃者に許されてしまう。Hive のアドバイザリには、「Apache Hive の LlapSignerImpl において、Arrays.equals() を用いてメッセージ署名を比較する攻撃者は、任意のメッセージの有効な署名をバイトごとに偽造できる」と記されている。
それが意味するのは、攻撃者が署名を偽造して悪意のタスクを LLAP に送信することで、サービス拒否 (DoS) 攻撃やデータへの不正アクセスの可能性が生じることだ。
CVE-2024-29869:無制限の資格を付与するファイルの生成
この脆弱性は、過度に許可された権限による、資格情報ファイルの作成に起因する。Hive のアドバイザリには、「ファイルの権限が明示的に設定されない場合において、Hive のファイル・システムの一時ディレクトリには、権限 644 の資格情報を持つファイルがデフォルトで作成される」と記載されている。
それにより、一時ディレクトリへのアクセスが可能な、すべてのユーザーが、対象となるファイルに保存されている機密情報を読み取れる。その結果として、資格情報が漏洩し、さらなるシステム侵害へといたる可能性が生じる。
修正バージョン
すでに Apache Hive プロジェクトは、バージョン 4.0.1 をリリースし、2つの脆弱性に対処している。ユーザーに対して強く推奨されるのは、可能な限り早急に、最新バージョンへとアップグレードすることだ。
Apache Hive の脆弱性が FIX しました。ご利用のチームは、ご注意ください。なお、関連する直近のトピックは、2024/12/24 の「Apache Hive/Spark の脆弱性 CVE-2024-23945 が FIX:ただちにアップデートを!」となります。よろしければ、Hive で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.