2024年12月18日にElasticsearchにおいて脆弱性情報が報告されました。下記脆弱性情報の日本語参考訳をご案内します。正式な情報は下記URLの情報を参照ください。
Elasticsearch 8.16.2 / 8.17.0 Security Update
://discuss.elastic.co/t/elasticsearch-8-16-2-8-17-0-security-update/372091
Elasticsearch 不正な認証 (ESA-2024-46)
Elasticsearch において、特定のクエリに対する不適切な認証制御の問題が発見されました。この問題により、悪意のある攻撃者がドキュメントレベルセキュリティ(Document Level Security)を回避し、本来そのロールではアクセスできないドキュメントにアクセスする可能性があります。
この問題は、Elasticsearch のドキュメントレベルセキュリティ機能を利用しているユーザーにのみ影響を与えます。
この問題は Elastic によって発見され、責任を持って報告されました。Elastic は、この問題が広く知られている、または悪用されているという証拠を持っていません。
影響を受けるバージョン:
Elasticsearch 8.16.0 および 8.16.1
解決策および緩和策:
この問題は、バージョン 8.16.2 および 8.17.0 で解決されています。
深刻度:
CVSSv4.0: 6 (中程度)
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
CVE ID:
CVE-2024-12539
参考リンク
SIOS SECURITY BLOG | elasticsearchの脆弱性(Moderate: CVE-2024-12539)
https://security.sios.jp/vulnerability/elasticsearch-security-vulnerability-20241219
