出典: Security NEXT – https://www.security-next.com/177085
Dell Data Lakehouseが145件の脆弱性を修正 – クリティカルな問題も含む
Dellのデータ管理プラットフォーム「Dell Data Lakehouse」において、合計145件もの脆弱性が発見され、最新バージョンで修正されました。中でも、製品固有の深刻なアクセス制御の不備による脆弱性が注目されています。
主要なポイント
- 脆弱性の総数は145件:多くはサードパーティ製ソフトウェアに起因していますが、Dell Data Lakehouse固有の問題も含まれています。
- クリティカルな脆弱性「CVE-2025-46608」:アクセス制御の不備により、悪用されると権限昇格が可能で、システムや顧客データの侵害リスクがあります。CVSSv3.1でスコア9.1と最高レベルの深刻度です。
- サードパーティ製コンポーネントの脆弱性:「SUSE Linux Enterprise Server」や「Intel」関連の脆弱性を含む144件が修正されました。その他、「containerd」「golang」「helm」「jackc」なども対象です。
- アップデート推奨バージョン:これらの脆弱性は「Dell Data Lakehouse 1.6.0.0」で修正済みのため、同バージョン以降へのアップデートが強く推奨されています。
技術的な詳細や背景情報
Dell Data Lakehouseは、大量のデータを統合的に管理・分析するためのプラットフォームであり、企業のデータ活用基盤として重要な役割を担っています。今回の脆弱性の多くは、プラットフォーム内部で利用されているオープンソースやサードパーティ製のソフトウェアコンポーネントに由来しています。
特に「CVE-2025-46608」は、アクセス制御の設計ミスに起因し、権限のないユーザーが本来アクセスできない操作を実行できてしまう問題です。CVSSv3.1(Common Vulnerability Scoring System version 3.1)は脆弱性の深刻度を評価する国際的な基準で、9.1は「クリティカル(Critical)」に分類され、即時の対応が必要です。
また、SUSE Linux Enterprise ServerやIntelのコンポーネントに関する脆弱性も多数含まれており、これらはDell Data Lakehouseの基盤となるOSやハードウェア周辺のソフトウェアに影響を与えます。containerdやgolangなどの開発ツールやコンテナ管理ツールの脆弱性も含まれているため、幅広い層でのセキュリティ対策が求められます。
影響や重要性
今回の脆弱性は、企業の重要なデータ基盤を狙った攻撃に悪用される可能性があり、情報漏洩やシステムの乗っ取りなど重大な被害につながる恐れがあります。特に権限昇格の脆弱性は、攻撃者がシステムの管理者権限を奪取することで、全体のセキュリティを破壊するリスクを孕んでいます。
さらに、サードパーティ製コンポーネントの脆弱性が多数含まれていることから、ソフトウェアのサプライチェーン全体の安全性を確保することの重要性が改めて浮き彫りになりました。Dell Data Lakehouseを利用する企業は、速やかにアップデートを適用し、リスクを軽減する必要があります。
まとめ
Dell Data Lakehouseにおける145件の脆弱性修正は、製品固有のクリティカルな問題を含む大規模なセキュリティ対応です。特にアクセス制御の不備による権限昇格の脆弱性は深刻であり、速やかなアップデート適用が不可欠です。サードパーティ製コンポーネントの脆弱性も多く含まれているため、ソフトウェアの安全性を保つためには継続的な監視とメンテナンスが求められます。利用者は「Dell Data Lakehouse 1.6.0.0」以降への更新を速やかに実施しましょう。
