分散システムで設定情報と命名の維持に使用される一元化されたサービスであるApache ZooKeeperが、重大なセキュリティアップデートを受け取りました。
Apache Software Foundationは最近、本番環境で機密データを公開し、サーバーなりすましを許可する可能性がある2つの「重要」レベルの脆弱性に対処しました。
設定とホスト名検証の欠陥
CVE-2026-24308として特定された最初の脆弱性は、不適切な設定処理による機密情報の開示を含みます。
ZKConfigコンポーネント内では、システムがINFOレベルで設定値を誤ってログに記録しています。
その結果、機密認証情報とシステム設定がクライアントのログファイルにプレーンテキストで直接書き込まれます。
INFOレベルのログは本番システムではデフォルトで頻繁に有効になっているため、この欠陥はログへのアクセス権を持つユーザーまたは攻撃者に対するデータ公開のかなりのリスクを示しています。
セキュリティ研究者のYoulong Chenがこの脆弱性の発見と報告に貢献しました。
2番目の脆弱性CVE-2026-24281は、ZKTrustManager内でのホスト名検証バイパスです。
標準的なIPサブジェクト代替名(SAN)検証が失敗すると、システムは自動的に逆DNS(PTR)ルックアップにフォールバックします。
これらのPTRレコードを制御またはスプーフできる攻撃者は、このフォールバックメカニズムを操作して有効なZooKeeperサーバーまたはクライアントになりすましることができます。
これを正常に悪用するには、攻撃者はZKTrustManagerによって信頼されるデジタル証明書を提示する必要があります。
この前提条件により攻撃はより複雑になりますが、対象ネットワークのリスクは依然として大きいです。Nikita Markvichがこの欠陥を報告しており、これはZOOKEEPER-4986として内部で追跡されています。
| CVE ID | 重要度 | 説明 | 影響を受けるバージョン |
|---|---|---|---|
| CVE-2026-24308 | 重要 | ZKConfigのINFOレベルでのクライアント設定ログでの機密情報開示。 | 3.8.0~3.8.5 3.9.0~3.9.4 |
| CVE-2026-24281 | 重要 | ZKTrustManagerの逆DNS フォールバックを経由したホスト名検証バイパス。 | 3.8.0~3.8.5 3.9.0~3.9.4 |
どちらの脆弱性も同じソフトウェアバージョンに影響を与え、特に3.8.xブランチは3.8.5まで、3.9.xブランチは3.9.4までです。
分散インフラストラクチャを保護するため、管理者は提供されているソフトウェアアップデートをすぐに適用する必要があります。
Apache セキュリティチームは全ユーザーに、両方のセキュリティ問題を解決するZooKeeperデプロイメントをバージョン3.8.6または3.9.5にアップグレードするようアドバイスしています。
これらのアップデートを適用することで、重大なアーキテクチャ修正がもたらされます。ログの脆弱性については、アップデートは機密設定データが標準的な運用ログに流れ込むのを防ぎます。
ホスト名バイパスの欠陥については、パッチされたバージョンはクライアントとクォーラムプロトコル全体で逆DNSルックアップを完全に無効にするために設計された新しい設定オプションを導入します。
PTRフォールバックメカニズムを削除することにより、アップデートはスプーフィングベクトルを永久に排除します。
さらに、セキュリティチームはパッチ前に過去のINFOレベルのログを積極的に監査して、認証情報がリークしていないことを確認する必要があります。
管理者は、以前のログファイルで発見された公開されたパスワードまたは認証キーをローテーションして、完全なシステムセキュリティを維持することをお勧めします。
翻訳元: https://gbhackers.com/apache-zookeeper-flaw/
