プラットフォーム
apache
コンポーネント
apache-pulsar
修正版
2.10.6
2.11.4
3.0.3
3.1.3
3.2.1
Apache Pulsar Functions Workerにおいて、認証されたユーザーがJARまたはNARファイルとして関数をアップロードする際に、ディレクトリトラバーサル脆弱性が存在します。この脆弱性を悪用されると、攻撃者は指定された抽出ディレクトリ外のファイルを作成または変更することが可能となり、システム動作に影響を与える可能性があります。影響を受けるバージョンはPulsar 2.4.0から3.2.1です。バージョン3.2.1へのアップデートで修正されています。
この脆弱性は、攻撃者がPulsar Functions Workerの抽出ディレクトリ外のファイルにアクセスし、書き込むことを可能にします。攻撃者は、この脆弱性を利用して、機密情報を盗み出したり、システムファイルを改ざんしたり、悪意のあるコードを実行したりする可能性があります。特に、Pulsar Brにおいて、この脆弱性が悪用されると、より広範囲なシステムへの影響が及ぶ可能性があります。攻撃者は、ZIPファイル内のファイル名に「..」のような特殊文字を挿入することで、ディレクトリ構造を操作し、意図しない場所にファイルを書き込むことができます。
この脆弱性は、2024年3月12日に公開されました。現時点では、公的なPoCは確認されていませんが、ディレクトリトラバーサル脆弱性であるため、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。Pulsar Functions Workerの利用状況によっては、攻撃対象となり得るため、注意が必要です。
Organizations heavily reliant on Apache Pulsar for stream processing and real-time data applications are particularly at risk. This includes those deploying Pulsar in production environments with limited security controls or those using older, unpatched versions (2.4.0–3.2.1). Shared hosting environments where multiple users can upload functions also present a heightened risk.
• linux / server:
journalctl -u pulsar-broker -g 'file creation outside designated directory'• generic web:
curl -I http://<pulsar_broker_url>/functions/<malicious_function_name>.jar | grep 'Server: Apache Pulsar'disclosure
エクスプロイト状況
EPSS
1.03% (77% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、まずPulsarをバージョン3.2.1にアップデートすることを推奨します。アップデートが困難な場合は、Functions Workerへのアクセスを制限し、信頼できないユーザーからのファイルアップロードを禁止するなどの対策を講じてください。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、悪意のあるファイルアップロードを検知およびブロックすることも有効です。ファイル名検証の強化も有効な緩和策となります。
Actualice Apache Pulsar a la versión 2.10.6 o superior si está utilizando la serie 2.10. Actualice a la versión 2.11.4 o superior si está utilizando la serie 2.11. Para las series 3.0, 3.1 y 3.2, actualice a las versiones 3.0.3, 3.1.3 y 3.2.1 respectivamente, o a una versión más reciente.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-27317は、Apache Pulsar Functions Workerにおいて、認証されたユーザーがZIPファイル内のファイル名を操作し、システムファイルを改ざんする可能性があるディレクトリトラバーサル脆弱性です。CVSSスコアは8.4(HIGH)です。
Pulsarのバージョンが2.4.0から3.2.1の間である場合、この脆弱性の影響を受けます。バージョン3.2.1にアップデートすることで修正されます。
Pulsarをバージョン3.2.1にアップデートしてください。アップデートが困難な場合は、Functions Workerへのアクセスを制限するなどの緩和策を講じてください。
現時点では、公的なPoCは確認されていませんが、悪用される可能性は否定できません。
Apache Pulsarの公式アドバイザリは、Apacheのセキュリティページで確認できます。https://security.apache.org/