Apache HadoopのHDFSネイティブクライアントに存在する中程度の境界外書き込み脆弱性により、攻撃者がシステムクラッシュを引き起こしたり、本番環境でデータ破損を発生させたりする可能性があります。
CVE-2025-27821として特定されたこの欠陥は、ネイティブHDFSクライアントのURIパーサーに影響し、Apacheにより中程度の深刻度が割り当てられています。
この脆弱性は、セキュリティ研究者のBUI Ngoc Tan氏によって発見・報告されました。
Apache Hadoopは広く利用されている分散ストレージおよび処理フレームワークであり、数千の企業におけるビッグデータ運用の基盤となっています。
HDFS(Hadoop Distributed File System)のネイティブクライアントは、データパイプラインやクラスタ管理の構成で一般的に導入されています。
URIパーサーにおける境界外書き込み状態により、信頼できない入力が割り当てられたメモリ境界を超えてデータを書き込むことが可能となり、システムメモリの破損やサービス拒否状態を引き起こすおそれがあります。
影響を受けるバージョンと緩和策
この脆弱性は、Apache Hadoop HDFSネイティブクライアントのバージョン3.2.0から3.4.1に影響します。バージョン3.4.2以降を実行しているシステムは影響を受けません。
Apacheは、影響を受けるすべての組織に対し、脆弱性を修正するために必要なパッチを含むバージョン3.4.2へのアップグレードを直ちに最優先で実施することを推奨しています。本件はJIRAチケットHDFS-17754で追跡されています。
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2025-27821 |
| コンポーネント | Apache Hadoop HDFS Native Client (org.apache.hadoop:hadoop-hdfs-native-client) |
| 脆弱性の種類 | URIパーサーにおける境界外書き込み |
| 深刻度 | 中程度 |
境界外書き込みはURI解析中に発生するため、HDFSクライアントに悪意を持って細工されたURIを提供することで、この脆弱性が悪用される可能性があります。
悪用に成功した場合、メモリ破損、制御不能なシステム動作、データ損失、またはシステムの完全な利用不能につながるおそれがあります。
本番環境でこの脆弱性が悪用された場合、HDFSクラスタに機微なデータを保存している組織は特にリスクが高くなります。
組織は直ちにHadoopの導入バージョンを評価し、パッチ適用済みリリースへのアップグレードを最優先で実施すべきです。
システム管理者は、疑わしいURIパターンがないかHDFSログを監視し、信頼できるソースにHDFSクライアント接続を限定するためのネットワークレベルのアクセス制御の実装を検討すべきです。
パッチ管理手順では、システムレベルへの影響が生じ得ることを踏まえ、この脆弱性を優先事項として扱うべきです。
翻訳元: https://gbhackers.com/apache-hadoop-flaw/
