Fluentd、深刻なリモートコード実行・SSRF・DoS・機密情報漏洩の脆弱性を修正

統合ログ収集向けの広く利用されているオープンソースデータコレクター「Fluentd」は、深刻なリモートコード実行の脆弱性を修正するバージョン1.19.3をリリースしました。あわせて、情報漏洩、サービス拒否(DoS)、およびサーバーサイドリクエストフォージェリ(SSRF)を引き起こす3件の深刻度の高い脆弱性も修正されています。

影響を受けるバージョンはすべて1.19.2以下で、今回のパッチにより、認証を経ていないリモート攻撃者が悪用しうる4つの異なる攻撃経路が塞がれました。

最も深刻な脆弱性であるCVE-2026-44024は、CVSSスコア9.8を記録しており、out_fileなどの出力プラグインでファイルパスを動的に構築する際に使用される${tag}プレースホルダーの検証が不十分であることに起因します。

信頼できないソースからログを送信する攻撃者は、../のようなパストラバーサルのシーケンスを注入することで任意のファイル書き込みを実現できます。これはシステムファイルの上書き、実行可能なプラグインの注入、設定ファイルの改ざんなどによって、完全なリモートコード実行にまでエスカレートさせることが可能です。

この脆弱性の悪用には認証は不要で、実際の影響範囲はFluentdプロセスの権限や設定内容に左右されます。

CVSSスコア7.5でHigh(重要)と評価されたCVE-2026-44025は、ポート24220経由でREST APIを通じて内部メトリクスを公開するin_monitor_agentプラグインに影響します。

/api/plugins.jsonエンドポイントは、ロードされたプラグインの内部インスタンス変数を意図せず漏洩させてしまうため、データベースのパスワードやAPIキー、クラウドの認証情報などが、そのポートにネットワークアクセスできる者に対して露出する恐れがあります。

同じくHigh(重要)と評価されたもう一つの脆弱性CVE-2026-44160は、圧縮ペイロードのサイズ制限は課しているものの、展開後の出力サイズには制限を設けていないin_httpおよびin_forward入力プラグインに影響します。

悪意を持って作成された高圧縮率のペイロードは、メモリ上での展開時に爆発的に膨れ上がり、システムメモリを枯渇させることでFluentdプロセスをメモリ不足(OOM)で強制終了させ、影響を受けたノード上のすべてのログ収集処理を停止させかねません。

CVE-2026-44161out_httpプラグインに影響するもので、endpointパラメータにおけるプレースホルダー展開により、攻撃者が送信先ホスト名を制御できてしまう可能性があります。ただし今回の修正では、解決済みURLのホスト部分のみを検証することでこれを制限しています。

なお、out_httpはGETではなくPOSTとPUTのリクエストのみを発行するため、この脆弱性を悪用しても、AWS IMDSのようなエンドポイントに対する一般的なクラウドメタデータ窃取攻撃は実行不可能なままである点は注目に値します。

GitHubのセキュリティアドバイザリによると、影響を受けるFluentd環境を運用している組織は、4件すべての脆弱性を同時に修正するバージョン1.19.3への優先的なアップグレードが推奨されています。

パッチ適用までの間、管理者にはFluentdのデフォルトポート(転送用の24224、監視用の24220、HTTP入力用の9880)へのネットワークアクセスを制限すること、Monitor Agentをlocalhostのみにバインドすること、ファイル書き込みによる被害を抑えるためFluentdを非rootアカウントで実行すること、そして信頼できない入力ソースに対して${tag}プレースホルダーの使用を避けることが推奨されます。

セキュリティチームは、それぞれ更新版のリリースに関連する修正を組み込んでいるfluent-plugin-s3fluent-plugin-opentelemetryについても、既存の設定を監査しておくべきでしょう。

翻訳元: https://cyberpress.org/critical-fluentd-flaws-patches/

ソース: cyberpress.org