概要
デル・テクノロジーズは、同社のData Lakehouseプラットフォームに影響を及ぼす重大なセキュリティ脆弱性を開示しました。この脆弱性は、高レベルの特権を持つ攻撃者がアクセス権を昇格させ、システム整合性を侵害する可能性があるものです。
この脆弱性はCVE-2025-46608として追跡されており、CVSSv3.1の基本スコアは9.1(重大)と評価されており、影響を受ける環境にとって極めて高いリスクを示しています。
脆弱性の詳細
この脆弱性は、Dell Data Lakehouseのバージョン1.6.0.0より前のバージョンにおける「不適切なアクセス制御」の問題に起因します。デルのアドバイザリによると、リモートネットワークアクセスを持つ高特権攻撃者がこの欠陥を悪用し、影響を受けるシステム上で特権を昇格させる可能性があります。
攻撃にはユーザーの操作は不要で、ネットワーク経由で実行されるため、特に危険な脅威ベクトルとなります。デルはこの脆弱性を「重大」と分類しており、悪用が成功すると、機密性、完全性、可用性がシステム全体および接続されたリソースにわたって根本的に侵害される可能性があります。
影響を受けるバージョンと対策
- CVE ID: CVE-2025-46608
- 影響を受ける製品: Dell Data Lakehouse
- 影響を受けるバージョン: 1.6.0.0より前のバージョン
- 対策済みバージョン: 1.6.0.0以降
- CVSS基本スコア: 9.1
デルはセキュリティアドバイザリDSA-2025-375を発行し、影響を受ける展開の範囲と緩和策のガイダンスを提示しています。推奨される対策は明確で、Dell Data Lakehouseをバージョン1.6.0.0以降にできるだけ早くアップグレードすることです。
組織への推奨事項
デル・テクノロジーズは、この脆弱性の重大性と広範なシステム侵害の可能性を考慮し、顧客に対しこのパッチ適用作業を優先するよう強く推奨しています。
- 組織は、Dell Data Lakehouseの展開を直ちに棚卸しし、影響を受けるすべてのインスタンスを特定する必要があります。
- パッチ適用のビジネス継続性への影響を評価し、緊急性と安定性のバランスを取った展開スケジュールを策定してください。
- 高特権アカウントに関する不審な活動がないかシステムを監視し、悪用試行の兆候がないか確認してください。
- パッチ適用が完了するまで、管理アカウントに対する監視とアクセス制御を強化することを検討してください。
デルの迅速な開示と明確な対策パスは、セキュリティチームが断固たる行動を取るために必要な情報を提供しています。組織は、この重大なセキュリティリスクをインフラストから排除するために、バージョン1.6.0.0へのアップグレードを最優先事項として扱うべきです。
元記事: https://gbhackers.com/critical-dell-data-lakehouse-flaw/