出典: Security NEXT – https://www.security-next.com/179497
「Apache Uniffle」に脆弱性 – 中間者攻撃のおそれ
「Apache Uniffle」に脆弱性 – 中間者攻撃のおそれ
分散シャッフルサービス「Apache Uniffle」に脆弱性が明らかとなった。通信内容が第三者に傍受、改ざんされるおそれがある。
「Apache Uniffle」は、「Apache Spark」「Hadoop MapReduce」「Apache Tez」などの分散処理フレームワークにおいて発生するシャッフルデータを集約し、管理するためのツール。
コマンドラインインタフェースやクライアントによる通信において、SSL証明書のホスト名検証を行っていない脆弱性「CVE-2025-68637」が判明した。
コーディネータサービス間における「REST API」の通信が中間者攻撃(MITM攻撃)を受けて盗聴、リクエストやレスポンスの内容について改ざんされるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
開発チームでは、「同0.10.0」にて脆弱性を修正。利用者にアップデートを呼びかけている。
(Secur
