2025/03/28 SecurityOnline — LinkedIn でオリジナルが開発された、高スループット/低レイテンシの OLAP データストア Apache Pinot は、データ・ドリブンな意思決定のためのリアルタイム分析を提供するように設計されている。その Pinot において、先日に発見された脆弱性 CVE-2024-56325 により、影響を受けるバージョンを実行しているシステムに深刻なリスクが生じている。
脅威: 認証バイパス
この認証バイパスの脆弱性は、”/ “が含まれず、”.” が含まれるパスの場合に、認証を不要にしてしまうものだ。この欠陥を悪用する攻撃者は、通常の認証手順を回避して、Apache Pinot への不正アクセスを達成できる。
技術的な詳細と影響
この脆弱性により、システムが完全に侵害される可能性があるため、深刻度 Critical に分類されている。以下の点を参考にしてほしい。
- 通常の認証:ユーザーを作成するための一般的なリクエストには認証が必要であり、適切な資格情報がない場合には、サーバは HTTP 401 Unauthorized” を返す。
- 悪意のバイパス:悪意のリクエストを作成することで (URL パス操作など)、この脆弱性を悪用する攻撃者は、認証を効果的にバイパスし、新しいユーザーの追加を達成する。その後に、この権限のないユーザーは、Pinot を制御できるようになる。
影響を受けるバージョンと推奨事項
この脆弱性の影響の範囲は、Apache Pinot のバージョン 1.3.0 未満である。Apache Pinot を使用している組織は、速やかに対処し、このリスクを軽減する必要がある。最も重要な推奨事項は、この脆弱性に対処する、Apache Pinot のパッチ・バージョンへと速やかにアップグレードすることだ。
結論
脆弱性 CVE-2024-56325 は、Apache Pinot ユーザーに対して、深刻なセキュリティ・リスクとなる。この認証バイパスの脆弱性を、攻撃者が悪用することは容易であるため、早急な対応が必要となる。可憐する情報を入手し、必要な更新を適用することで、組織のシステムとデータは潜在的な侵害から保護される。
2025/03/10 に投稿した「Apache Pinot の脆弱性 CVE-2024-56325 (CVSS 9.8) が FIX」の続報です。3月上旬に ZDI のアドバイザリが公開された後、3月下旬に Apache/Openwall のアドバイザリが公開され、4月初旬に NVD に登録されています。現時点では、悪用は確認されていないようですが、悪用が容易な脆弱性です。ご利用のチームは、いま一度、ご確認ください。よろしければ、Apache で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.