分散システムにおいて設定データの保守と同期化を行う広く使われた集中型サービスであるApache ZooKeeperは、機密データの露出とサーバーなりすまし攻撃の可能性につながる可能性のある2つの大きな影響を及ぼす欠陥に対処する重大なセキュリティパッチを受け取りました。
Apache Software Foundation (ASF)は、エンタープライズ規模の本番環境への潜在的な影響のため、両方の脆弱性を「重要」と評価しました。
CVE-2026-24308として追跡されている最初の問題は、ZKConfigコンポーネントの不適切なログ動作を通じた機密情報の意図しない露出を含みます。
不十分なログサニタイゼーションのため、認証情報と環境設定を含む設定値がINFOログレベルでプレーンテキストで保存されていました。
INFOレベルのログは本番環境でデフォルトで通常有効になっているため、これらのログにアクセスできるユーザーまたは攻撃者は機密設定データを表示できます。
ASFによると、この欠陥は運用セキュリティとインフラストラクチャプライバシーの両方に影響を与える可能性があります。セキュリティ研究者Youlong Chenがこの問題を特定し、責任を持って開示しました。
2番目の欠陥であるCVE-2026-24281は、ZKTrustManager内のホスト名検証に影響します。標準のIPベースのサブジェクト代替名(SAN)チェックが失敗すると、ZooKeeperはホスト名検証のために逆DNS(PTR)ルックアップにフォールバックします。
PTRレコードを操作またはスプーフィングできる攻撃者は、この動作を悪用して正当なZooKeeperサーバーまたはクライアントに成りすますことができます。
攻撃にはZKTrustManagerによって信頼されたデジタル署名された証明書の使用が必要ですが、信頼の境界が存在する厳密に制御された環境ではまだ深刻なリスクをもたらします。
この欠陥はNikita Markevichによって報告され、内部的にはZOOKEEPER-4986として追跡され、最初の問題と同じリリースレンジに影響を与えます。
Apache ZooKeeperで2つの重要な脆弱性が特定され、バージョン3.8.0から3.8.5およびバージョン3.9.0から3.9.4に影響を与えます。
最初のCVE-2026-24308は、ZKConfigコンポーネントがINFOレベルでログを記録することにより、ログ内で機密情報が開示され、機密設定の詳細が露出する可能性があります。
2番目のCVE-2026-24281は、ZKTrustManagerの逆DNSフォールバックの使用によるホスト名検証バイパスを許可し、潜在的に中間者(MITM)攻撃を可能にします。
両方の問題は「重要」に分類され、不正なアクセスやデータ露出を防ぐために迅速な対策が必要です。
ASFはZooKeeperバージョン3.8.6または3.9.5への即座のアップグレードを推奨しています。これらのパッチされたリリースはログ機能を修正して、認証情報と設定シークレットがプレーンテキストで露出しないようにします。
また、逆DNSルックアップを完全に無効にする新しい設定オプションが導入され、ホスト名スプーフィングを可能にしていたPTRフォールバックメカニズムが削除されます。
管理者は既存のZooKeeperログを監査して露出した認証情報がないか確認し、これらのファイルで見つかったパスワードまたは認証キーをローテーションする必要があります。
翻訳元: https://cyberpress.org/apache-zookeeper-vulnerability/