CVE-2024-47561: Apache Avro Java SDK: Avroデータ読み取り時の任意コード実行(Java SDK) ウェブページスクリーンショットからの主要情報: 1. 深刻度: Critical(重大) 2. 影響を受けるバージョン: - Apache Avro Java SDK 1.11.4より前のバージョン 3. 概要: - Apache Avro 1.11.3およびそれ以前のバージョンのJava SDKにおけるスキーマ解析処理には脆弱性があり、攻撃者が任意のコードを実行できる可能性があります。 - 本問題は修正済みとなるバージョン1.11.4または1.12.0へのアップグレードが推奨されます。 4. クレジット: - Kostya Kortchinsky(Databricksセキュリティチーム所属)(発見者) 5. 参考文献: - https://avro.apache.org/ - https://www.cve.org/CVERecord?id=CVE-2024-47561 追加の質疑応答: 1. Lari Hotariからの質問: - CVE-2024-47561で報告されているRCE(Avroデータの読み取り時の任意コード実行)は、Apache Avro Java SDKのデフォルト設定において悪用可能であることが知られていますか? - Avro 1.11.4/1.12.0へのアップグレードとパッチ適用にすべてのシステムで時間を要する見込みですが、既知の回避策や緩和策はありますか? 2. Martin Grigorovからの回答: - ユーザーが独自のAvroスキーマを提供し、その解析を許可する場合、アプリケーションは脆弱性を持ちます。 - 1.11.4へのアップグレードは非常に簡単です。 - 1.12.0にはより多くの変更が含まれているため、アプリケーションに影響を与えたり壊したりする他の要素がある可能性があります。 - 緩和策: 1. ユーザーが提供したスキーマを解析しないこと 2. 解析する前にスキーマをサニタイズすること。詳細については個別にお問い合わせください。 - 必ず対策は行われますが、それは攻撃者にとっても有用なものになるでしょう… --- この情報は、脆弱性の深刻度と影響を理解し、リスクを軽減するための推奨アクションを知る上で重要です。