Apache Hadoopにシステムクラッシュやデータ破損を引き起こす恐れのある脆弱性
Apache HadoopのHDFSネイティブクライアントに、システムクラッシュやデータ破損を引き起こす可能性のある中程度の深刻度の境界外書き込み(Out-of-Bounds Write)脆弱性が発見されました。この脆弱性は、本番環境においてサービス運用停止(DoS)やデータ破損につながる危険性があります。
「CVE-2025-27821」として識別されたこの欠陥は、HDFSクライアントのURIパーサーに存在し、セキュリティ研究者のBUI Ngoc Tan氏によって報告されました。
脆弱性の詳細
Apache Hadoopは、数千もの企業でビッグデータ運用を支える基盤として広く利用されている分散ストレージおよび処理フレームワークです。HDFS(Hadoop Distributed File System)ネイティブクライアントは、データパイプラインやクラスター管理構成で一般的に展開されています。
今回の脆弱性は、URIパーサーにおける境界外書き込みの条件により、信頼できない入力が割り当てられたメモリ領域を超えてデータを書き込むことを可能にします。これにより、システムメモリが破損したり、サービス運用停止状態を引き起こしたりする可能性があります。
- CVE ID: CVE-2025-27821
- コンポーネント: Apache Hadoop HDFS Native Client (org.apache.hadoop:hadoop-hdfs-native-client)
- 脆弱性の種類: URIパーサーにおける境界外書き込み
- 深刻度: 中程度
悪意を持って作成されたURIがHDFSクライアントに提供された場合、この脆弱性が悪用される可能性があります。悪用が成功すると、メモリ破損、システム動作の制御不能、データ損失、またはシステムの完全な利用不能といった重大な結果を招く恐れがあります。特に機密データをHDFSクラスターに保存している組織は、本番環境で脆弱性が悪用された場合に大きなリスクに直面します。
対象バージョンと推奨される対策
この脆弱性の影響を受けるのは、Apache Hadoop HDFSネイティブクライアントのバージョン3.2.0から3.4.1までです。バージョン3.4.2以降のシステムは影響を受けません。
Apacheは、影響を受けるすべての組織に対し、脆弱性を修正するための必要なパッチが含まれているバージョン3.4.2への即時アップグレードを最優先事項として推奨しています。この問題はJIRAチケット「HDFS-17754」で追跡されています。
システム管理者は、Hadoopのデプロイバージョンを直ちに評価し、パッチが適用されたリリースへのアップグレードを優先する必要があります。また、HDFSログを監視して疑わしいURIパターンがないか確認し、HDFSクライアント接続を信頼できるソースに制限するためのネットワークレベルのアクセス制御の実装も検討すべきです。