概要
分散 SQL クエリエンジン Trino の Iceberg コネクタ に おいて、REST Catalog の 静的認証情報(アクセスキー)および vended credentials(一時アクセスキー)が SQL レベル で 書き込み権限 を 持つ ユーザー に 対して アクセス可能 に なる 脆弱性 が 存在 します。バージョン 439 から 479 が 影響 を 受けます。データ基盤 で Trino と Iceberg を 組み合わせて 使用 している 環境 では、認証情報 の 不正取得 に よる データ漏洩 や 権限昇格 の リスク が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.7 |
| 深刻度 | HIGH |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| CWE | CWE-212, CWE-312(平文での認証情報保存) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| Trino | Trino Software Foundation | v439 〜 v479 |
修正 バージョン と 回避策
- 修正: v480 以降 へ アップデート してください
- 回避策: Iceberg REST Catalog へ の 書き込み権限 を 最小限 に 制限 してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。