Apache DolphinScheduler の脆弱性 CVE-2024-43166 が FIX:情報漏洩のリスクに対応

Apache DolphinScheduler Vulnerability Patched — Update Immediately

2025/09/03 gbhackers — Apache DolphinScheduler における軽微なセキュリティ問題が、最新のリリースにより修正された。この脆弱性 CVE-2024-43166 は、CWE-276 (不適切なデフォルト権限) に分類されており、バージョン 3.2.2 未満に影響を及ぼす。ユーザーに対して強く推奨されるのは、速やかにバージョン 3.3.1 へとアップグレードすることである。この問題には CVE-2024-43166 の識別子が割り当てられ、2025年9月3日 (水) の時点でメンテナーの Lidong Dai により、プロジェクトのセキュリティ・メーリングリストで開示された。

Apache DolphinScheduler は、複雑なデータワークフローをオーケストレーションするオープンソースの分散スケジューリング・システムであり、高度な拡張性/フォールト・トレランス/豊富な監視機能などを提供することで広く採用されている。2025年9月3日にセキュリティ研究者 L0ne1y が報告したのは、バージョン 3.2.2 未満において、ファイル/ディレクトリのデフォルト権限が過度に緩いことである。

それにより、特定のコンフィグレーションの下では、権限のないユーザーであっても、アクセス制限されているファイル/ディレクトリへ到達できるため、ワークフロー定義/資格情報/ログなどの機密情報が漏洩する可能性があった。特に共有環境やマルチテナント環境では、攻撃者や権限のないユーザーによる、他ユーザーのコンフィグ・ファイルやログへの、不正アクセスのリスクが生じるという。

影響を受けるバージョンと深刻度
  • 影響を受けるバージョン:Apache DolphinScheduler 3.2.2 未満
  • 深刻度:Low

この脆弱性の深刻度が低いのは、悪用の前提として DolphinScheduler サーバのファイル・システムへのローカル・アクセスまたは操作権限が必要となるからだ。したがって、実際の悪用報告はない。つまり、直接的なリモート・コード実行やデータ窃取を許すものではないが、最小権限の原則に違反していることになる。

すでに DolphinScheduler 開発チームは、バージョン 3.3.1 をリリースし、誤ったデフォルト権限を修正した。具体的には以下の通りである。

  • ワークフロー定義ファイル:デフォルト権限モードは 640 (所有者:読取/書込、グループ: 読取) に変更。
  • ログファイル:デフォルトで 640 を採用。
  • コンフィグ・ディレクトリ: 所有者は root となり、権限は 750 に設定。それにより、サービス・アカウントと管理者のアクセスが制限される。

一連の修正により、重要ファイルへのアクセスは、承認済みのシステム・ユーザーと DolphinScheduler サービス・アカウントに限定される。これらの設定は業界のベストプラクティスに準拠するものであり、本番環境における攻撃対象領域を削減する。

アップグレードの方法

Apache DolphinScheduler インストールを更新するには、以下の手順に従う。

  1. バックアップ
    • DolphinScheduler サービスを停止する。
    • 既存のインストール・ディレクトリとカスタム・コンフィグ・ファイルをバックアップする。
  2. ダウンロード
    • 3.3.1 のバイナリまたはソース・パッケージを入手する。
  3. インストール
    • 古いバイナリの置換、もしくは、新しいパッケージの解凍を行う。
    • conf/ ディレクトリにカスタム・コンフィグが保持されていることを確認する。
    • ファイルの所有権とグループの割り当てが正しいことを確認する。: bashchown -R dolphinscheduler:dolphinscheduler /opt/dolphinscheduler find /opt/dolphinscheduler -type f -exec chmod 640 {} \; find /opt/dolphinscheduler -type d -exec chmod 750 {} \;
  4. 再起動と確認
    • DolphinScheduler サービスを起動する。
    • ログを確認し、正常な起動を確かめる。
    • 重要なファイル/ディレクトリの権限における正常/異常を検証する。

この問題を責任ある形で報告した L0ne1y に対して、Apache DolphinScheduler プロジェクトは感謝の意を表している。この脆弱性の深刻度は低いが、マルチ・テナント環境における厳格なファイル・アクセス制御の重要性を浮き彫りにするものである。バージョン 3.2.2 未満を使用するユーザーは、速やかに 3.3.1 にアップグレードし、堅牢なセキュリティ基盤を確保すべきである。

Apache DolphinScheduler に発見された脆弱性は、ファイルやディレクトリに設定されたデフォルト権限が原因となるものでした。古いバージョンでは、権限が緩すぎるために、本来アクセスできないはずのユーザーが、ワークフロー定義/ログ/資格情報といった重要な情報に触れられる可能性があったとされます。ご利用のチームは、ご注意ください。よろしければ、DolphinScheduler で検索も、ご参照ください。