30秒で判断
対応すべき人:
- Apache Airflow を
KubernetesExecutorまたはLocalKubernetesExecutorで運用している - Airflow 3.2.2 未満を使用している
対応不要な人:
- Apache Airflow を使用していない
CeleryExecutorやLocalExecutorなど KubernetesExecutor 以外を使用している- すでに 3.2.2 以降にアップデート済み
確認コマンド:
# Airflow バージョン確認
pip show apache-airflow | grep Version
airflow version
# 使用中の Executor 確認
airflow config get-value core executor
# または airflow.cfg の確認
grep executor airflow.cfg
概要
Apache Airflow の KubernetesExecutor は、タスクを Kubernetes ワーカー Pod として起動する実行エンジンです。CVE-2026-49298 では、Execution API の認証に使用する JWT トークンがワーカープロセスのコマンドライン引数として渡されることが判明しました。
Linux 環境では /proc/<pid>/cmdline を通じてプロセスのコマンドライン引数を他プロセスから読み取ることができます。Pod 内の権限があるユーザや、同一ノード上で稼働する他のプロセスが JWT を読み取り、Airflow Execution API に不正アクセスする可能性があります。
特に、マルチテナントの Kubernetes 環境や、Airflow ワーカーと他のワークロードが混在する環境では影響が大きくなります。
CVSSベクトル(推定)
| 項目 | 値 |
|---|---|
| Attack Vector | Local |
| Attack Complexity | Low |
| Privileges Required | Low |
| User Interaction | None |
| Scope | Changed |
| Confidentiality | High |
| Integrity | Low |
| Availability | None |
| 推定CVSSスコア | 7.5 (High) |
CVSS数値スコアはNVDによる正式評価待ち(GHSAではHIGHと分類)
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| apache-airflow-core | 3.2.2 未満 | 3.2.2 |
修正バージョンと対応手順
修正版: 3.2.2
# pip でアップグレード
pip install apache-airflow==3.2.2
# または conda 環境の場合
conda install apache-airflow=3.2.2
# アップグレード後のバージョン確認
airflow version
回避策(アップデートが困難な場合):
- Airflow ワーカー Pod へのアクセスを最小権限に制限する(PodSecurityAdmission 等)
- ワーカー Pod と他のワークロードを同一ノードに配置しない(taints/tolerations)
- 定期的な JWT ローテーションを実施し、漏洩した場合の被害を最小化する
関連リンク
データソース: GitHub Advisory Database (GHSA)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
