Apache ZooKeeper の脆弱性 CVE-2026-24308/24281 が FIX:機密ログの漏洩とサーバなりすましの恐れ

Apache ZooKeeper Flaw Exposes Sensitive Data to Attackers

2026/03/09 gbhackers — 分散システムにおけるコンフィグ情報の命名と管理に使用される、集中型サービス Apache ZooKeeper に、重要なセキュリティ更新が提供された。 Apache Software Foundation によると、本番環境において機密データの漏洩やサーバなりすましを引き起こす可能性がある、2 件の Important レベルの脆弱性 CVE-2026-24308/CVE-2026-24281 が対処されたという。

不適切なコンフィグ処理とホスト名検証の欠陥

1 件目の脆弱性 CVE-2026-24308 は、不適切なコンフィグ処理に起因する機密情報漏洩の欠陥である。ZKConfig コンポーネントには、システムが設定値を誤って INFO レベルとしてログ出力してしまう問題がある。その結果、機密認証情報/システム設定が平文でクライアントのログファイルへ直接記録される。

本番システムでは、INFO レベルのログ記録がデフォルトで有効化されていることが多いため、この欠陥を悪用するログアクセス権を持つユーザーや攻撃者により、深刻なデータ露出のリスクが生じる。この脆弱性は、セキュリティ研究者 Youlong Chen により報告された。

2 件目の脆弱性 CVE-2026-24281 は、ZKTrustManager におけるホスト名検証バイパスの欠陥である。標準的な IP Subject Alternative Name (SAN) 検証が失敗した場合に、システムは逆 DNS (PTR) ルックアップへと自動的にフォールバックする。ローカルネットワーク内や制御下の DNS 環境において、攻撃者が PTR レコードを制御/偽装できる場合には、このフォールバック機構を悪用して、正当な ZooKeeper サーバ/クライアントを偽装できる。

この脆弱性の悪用には、ZKTrustManager に信頼されるデジタル証明書を、攻撃者が提示する必要がある。この前提条件により、攻撃の難易度は上昇するが、標的型ネットワーク攻撃において深刻なリスクを生じる。この欠陥は、Nikita Markevich により報告され、内部では ZOOKEEPER-4986 として管理されている。

CVE IDSeverityDescriptionAffected Versions
CVE-2026-24308ImportantSensitive information disclosure in client configuration logs via ZKConfig at INFO level.3.8.0 – 3.8.5
3.9.0 – 3.9.4
CVE-2026-24281ImportantHostname verification bypass via reverse-DNS fallback in ZKTrustManager.3.8.0 – 3.8.5
3.9.0 – 3.9.4
緩和策と修復手順

これらの脆弱性が影響を及ぼす範囲は、3.8.x 系列 (3.8.5 以下) および 3.9.x 系列 (3.9.4 以下) である。分散インフラを保護する管理者にとって必要なことは、提供されているソフトウェア更新を速やかに適用することだ。すでに Apache セキュリティ・チームは、ZooKeeper 3.8.6/3.9.5 をリリースし、これらの問題に対処している。

この更新により、重要なアーキテクチャ修正が導入される。ログ漏洩の問題については、機密コンフィグ情報が標準の運用ログへ出力されないための修正が施されている。ホスト名検証バイパスについては、クライアント・プロトコル/クォーラム・プロトコル全体で逆 DNS ルックアップを無効化する、新しい設定オプションが追加された。PTR フォールバック機構を排除する更新により、スプーフィング・ベクターは恒久的に除去される。

さらに、セキュリティ・チームに対して推奨されるのは、パッチ適用前の INFO レベルログを監査し、認証情報の漏洩の有無を確認することだ。過去のログにおいて、公開されたパスワード/認証キーが確認された場合には、直ちにローテーションを実施して、完全なシステム・セキュリティを維持すべきである。

今回の脆弱性は、システムの土台を支える設定管理や検証の、不適切な仕組みに起因するものです。1 件目の CVE-2026-24308 は、本来は秘匿されるべき認証情報が INFO レベルのログとして出力されてしまう、コンフィグ処理の不備が原因です。開発時の確認用ログが、本番環境でも残ってしまったような状態といえます。2件目の CVE-2026-24281 は、接続先の正当性を確かめるホスト名検証において、安全性の低い逆 DNS (PTR) ルックアップへ、自動的に切り替えが生じてしまう欠陥です。この経路を悪用する攻撃者は、偽のサーバになりすますことが可能になります。ご利用のチームは、ご注意ください。よろしければ、Apache ZooKeeper での検索結果も、ご参照ください。