公開日:2025/11/26 最終更新日:2025/12/08

JVNVU#98826583
Fluent Bitにおける複数の脆弱性

概要

Fluent Bitには複数の脆弱性が存在します。

影響を受けるシステム

  • Fluent Bit 4.0.12より前の4.0系バージョン
  • Fluent Bit 4.1.1より前の4.1系バージョン

詳細情報

Fluent Bitは、クラウド環境やコンテナ環境で使用されているロギング、メトリクス、トレースのプロセッサおよびフォワーダーです。Fluent Bitにはタグの処理方法や各種プラグインに起因した、以下の複数の脆弱性が存在します。

  • out_fileプラグインにおける、出力ファイルのパスを生成する際にタグ値を適切にサニタイズしない問題(CVE-2025-12972)
  • in_docker入力プラグインにおける、extract_name関数がコンテナ名の長さを検証しない問題(CVE-2025-12970)
  • in_forward入力プラグインにおける、security.users認証メカニズムが強制されない問題(CVE-2025-12969)
  • in_httpin_splunkin_elasticsearch入力プラグインにおける、tag_keyのサニタイズに失敗する問題(CVE-2025-12977)
  • in_httpin_splunkin_elasticsearch入力プラグインにおける、tag_keyのキーの長さの検証不備(CVE-2025-12978)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • Fluent Bitインスタンスにアクセス可能な攻撃者によって、意図しないディレクトリにファイルを書き込まれる(CVE-2025-12972)
  • コンテナの作成やコンテナ名の制御が可能な攻撃者によって、プロセスをクラッシュさせられたり任意のコードを実行されたりする(CVE-2025-12970)
  • Fluent Bitインスタンスにアクセス可能な攻撃者によって、偽のログを混入されたり、ログルーティングを変更されたりする(CVE-2025-12969)
  • Fluent Bitインスタンスにアクセス可能もしくはSplunk、Elasticsearchへのレコード書き込み権限を持つ攻撃者によって、偽のログを混入されたり、ログルーティングを変更されたりする(CVE-2025-12977、CVE-2025-12978)

対策方法

アップデートする
本脆弱性を修正したバージョン4.0.12、4.1.1、4.2.0がリリースされています。開発者が提供する情報をもとに最新版にアップデートしてください。

ベンダ情報

ベンダ リンク
Fluent Bit Release Notes v4.0.12
Release Notes v4.1.1
Release Notes v4.2.0

参考情報

  1. CERT/CC Vulnerability Note VU#761751
    Fluent Bit contains five vulnerabilities, including stack buffer overflow, authentication bypass, and path traversal

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2025/12/05
[影響を受けるシステム]、[対策方法]、[ベンダ情報]を更新しました
2025/12/08
[対策方法] を修正しました