概要
Apache KafkaクラスターをKubernetesやOpenShift上で運用するためのツールであるStrimziにおいて、mTLS(相互TLS)認証に関する脆弱性(CVE-2026-27134)が報告されました。この脆弱性は、複数の認証局(CA)で構成されるカスタムCAチェーンをClusterまたはClients CAとして使用している場合に発生します。本来、特定のCAのみを信頼すべきであるにもかかわらず、StrimziがCAチェーン内の全てのCAを信頼するように誤って設定してしまう問題です。
この結果、CAチェーン内の任意のCAによって署名された証明書を持つユーザーが、Strimziが管理する内部リスナーおよびユーザー設定のリスナーにおいて認証を通過する可能性があります。
影響範囲
対象製品・バージョン
- Strimziバージョン 0.49.0 から 0.50.0
影響を受ける条件
- 複数のCAで構成されるカスタムCAチェーンを、ClusterまたはClients CAとして使用している環境。
影響を受けない条件
- Strimziが管理するClusterおよびClients CAを使用している場合。
- 単一のCAのみで構成されるカスタムCAを使用している場合(複数のCAを含むCAチェーンではない場合)。
想定される影響
本脆弱性が悪用された場合、本来認証を許可すべきではない、CAチェーン内の任意のCAによって署名された証明書を持つユーザーが、システムへのアクセスを許可される可能性があります。これにより、不正なアクセスや情報漏洩、システムの改ざんなど、様々なセキュリティリスクにつながる恐れがあります。
攻撃成立条件・悪用状況
攻撃が成立するためには、脆弱なStrimziバージョンが稼働しており、かつ複数のCAを含むカスタムCAチェーンがmTLS認証に利用されていることが前提となります。攻撃者は、そのCAチェーン内のいずれかのCAによって署名された有効な証明書を不正に入手または生成する必要があります。
現時点では、本脆弱性の具体的な悪用状況に関する報告は確認されていません。
推奨対策(優先度付き)
今すぐできる対策(最優先)
- Strimziのアップデート: 本脆弱性はStrimziバージョン 0.50.1 で修正されています。速やかにStrimziをバージョン 0.50.1 以降にアップデートすることを強く推奨します。
一時的な緩和策
直ちにアップデートが困難な場合、以下の緩和策を検討してください。
- カスタムCAとして、CAチェーン全体を提供する代わりに、信頼すべき単一のCAのみを提供するように設定を変更します。
確認方法
ご自身の環境が本脆弱性の影響を受ける可能性があるかを確認するには、以下の点を確認してください。
- 現在使用しているStrimziのバージョンが、0.49.0から0.50.0の範囲内であるか。
- ClusterまたはClients CAの設定において、複数のCAを含むカスタムCAチェーンを使用しているか。
参考情報
- CVE-2026-27134の詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-27134