Apache ZooKeeperの脆弱性が機密データを攻撃者に暴露
Apache ZooKeeperは、分散システムで構成情報を維持し、名前解決を行うための中央サービスです。Apache Software Foundationは最近、このサービスに存在する2つの「Important」(重要)レベルの脆弱性を修正するための重要なセキュリティ更新をリリースしました。
脆弱性の詳細
最初の脆弱性は、CVE-2026-24308として識別され、不適切な構成処理により機密情報が漏洩する可能性があります。ZKConfigコンポーネント内で、システムは誤って構成値をINFOレベルでログに記録します。これにより、クライアントのログファイルに平文で機密資格情報やシステム設定が直接書き込まれます。INFOレベルのログは、多くの生産システムでデフォルトで有効になっているため、この脆弱性はデータ暴露のリスクを大幅に高めます。
この脆弱性は、セキュリティ研究者のYoulong Chenによって発見され報告されました。
2つ目の脆弱性は、CVE-2026-24281で、ZKTrustManager内のホスト名検証バイパスです。標準のIP Subject Alternative Name (SAN)検証が失敗した場合、システムは自動的に逆DNS (PTR) ロックアップに切り替わります。攻撃者は、これらのPTRレコードを操作またはスプーフィングすることで、この切り替えメカニズムを利用して有効なZooKeeperサーバーやクライアントを偽装することができます。
この脆弱性は、Nikita Markevichによって報告され、内部でZOOKEEPER-4986として追跡されています。
影響を受けるバージョン
- CVE-2026-24308: 3.8.0 – 3.8.5, 3.9.0 – 3.9.4
- CVE-2026-24281: 3.8.0 – 3.8.5, 3.9.0 – 3.9.4
対策と修正手順
両方の脆弱性は、3.8.xブランチの3.8.5までと3.9.xブランチの3.9.4までの同じソフトウェアバージョンに影響を及ぼします。分散インフラストラクチャを保護するためには、管理者はすぐに提供されたソフトウェア更新を適用する必要があります。
Apache Securityチームは、すべてのユーザーにZooKeeperデプロイを3.8.6または3.9.5にアップグレードすることを推奨しています。これらの更新は、両方のセキュリティ問題を解決します。
ログの脆弱性に対する更新は、機密構成データが標準の運用ログに流れ込むのを防ぎます。ホスト名バイパスの脆弱性に対する修正は、クライアントとクオーラムプロトコル全体で逆DNSルックアップを完全に無効にする新しい構成オプションを導入します。
管理者は、パッチ適用前にINFOレベルのログを積極的に監査し、漏洩した可能性のある資格情報や認証キーを回収する必要があります。
結論
これらの脆弱性は、Apache ZooKeeperのセキュリティを脅かす可能性があります。管理者はすぐにパッチを適用し、システムのセキュリティを維持するために必要な手順を実施することが重要です。