2026年6月26日にLTS版 Fluent Package v6.0.4をリリースしました。

本記事では、Fluent Package v6.0.4の変更内容を紹介します。

Fluent Package v6.0.4

Fluent Package v6.0.4 では、以下の対応を行いました。

• 脆弱性対応のため同梱のFluentdをv1.19.3に更新
• 脆弱性を修正したs3およびopentelemetryプラグインに更新

変更内容の詳細

脆弱性対応のため同梱のFluentdをv1.19.3に更新

Fluent Package v6.0.4 では、Fluentd v1.19.2以前に複数の脆弱性が発覚したため、 それらを修正したFluentd v1.19.3を同梱するようにしました。

閉域網（信頼されているネットワーク内）での利用には影響ありません。

脆弱性が報告されたバージョンを含むパッケージは、次の通りです。

• fluent-package v6
  • LTS: v6.0.3以前のすべてのバージョン
  • 通常版: v6.0.0 (通常版の更新はしばらく予定されていないので、LTSへの移行を推奨します。)
• fluent-package v5
  • LTS v5.0.9以前のすべてのバージョン (v5.0.xはすでにサポート終了しているので、v6 LTSへの移行を推奨します)
  • 通常版: v5.2.0以前のすべてのバージョン (v5.xはすでにサポートを終了しているので、v6 LTSへの移行を推奨します)
• td-agent
  • すべてのバージョンが該当 (td-agentもすでにサポートを終了しているので、v6 LTSへの移行を推奨します)

Fluent Package v6.0.4に同梱されているFluentd v1.19.3では次の脆弱性が修正されました。

• Remote Code Execution (RCE) via Arbitrary File Write in ${tag} Placeholder
  • CVE-2026-44024
  • CVSS v3 score: 9.8/10 (Critical)
  • 脆弱性: プレースホルダーにtagを指定している場合、設定ファイルの書き方や実行権限が不適切だと、任意のパスにファイルを書き込まれ、リモートからコード実行可能な脆弱性です。
  • 回避策: すぐにパッケージを更新できない場合、in_forwardへのアクセスの制限、非root権限での実行、設定ファイルの修正、 信頼できないtagを除去するなどの緩和策を適用してください。
• Exposure of Sensitive Information via Monitor Agent API
  • CVE-2026-44025
  • CVSS v3 score: 7.5/10 (High)
  • 脆弱性: monitor_agentによって公開されているAPIを悪用して、Fluentdの設定内容を読み取られる脆弱性です。
  • 回避策: すぐにパッケージを更新できない場合、in_monitor_agentへのアクセスの制限、 ローカルホストからのみのアクセスを受け付けるなどの緩和策を適用してください。
• Denial of Service (DoS) via Gzip Decompression Bomb in in_http and in_forward
  • CVE-2026-44160
  • CVSS v3 score: 7.5/10 (High)
  • 脆弱性: 細工したgzip圧縮データをFluentdへと送りつけることで、展開時に大量のメモリを消費させてFluentdをクラッシュさせることが可能な脆弱性です。サービスの安定運用に影響を与えます。
  • 回避策: すぐにパッケージを更新できない場合、 in_forward もしくは in_httpへのアクセス制限、共有キーを用いた送受信認証の適用等の緩和策を適用してください。
• Server-Side Request Forgery (SSRF) via out_http Placeholder Expansion
  • CVE-2026-44161
  • CVSS v3 score: 7.2/10 (High)
  • 脆弱性: out_httpでデータを別のサーバーに送る際の送信先をタグから決定している場合、細工したデータを送りつけられると、本来の意図とは異なるサーバーへとデータを送信してしまうことが可能な脆弱性です。
  • 回避策: すぐにパッケージを更新できない場合、プレースホルダーでホスト名を動的に設定しない、信頼できないネットワークからのアクセスの制限、特定のホストのみ許可するなどの緩和策を適用してください。

ほかにも、同梱されているs3やopentelemetryプラグインでも類似の脆弱性が修正されたものを同梱しています。

• Denial of Service (DoS) via Large Payloads and Decompression Bombs in in_opentelemetry
  • CVE-2026-44163
  • CVSS v3 score: 5.3/10 (Moderate)
  • 回避策: すぐにパッケージを更新できない場合、 in_opentelemetryへのアクセス制限、リバースプロキシ等を用いたGZIP展開時のサイズ制限等の緩和策を適用してください。
• Denial of Service (DoS) via Decompression Bomb in in_s3
  • CVE-2026-44162
  • CVSS v3 score: 2.7/10 (Low)
  • 回避策: すぐにパッケージを更新できない場合、 in_s3がモニタしているS3 バケットには信頼されたサービスおよび管理者からのみPUTされていることを担保してください。

アップグレード手順について

古いバージョンからの更新手順については、Fluent Package v6 LTS へのアップデート手順を案内しています。 Fluent Package v5からだけでなく、Treasure Agent (td-agent)からの更新についても説明しています。

関連リンク

パッケージの入手先や、インストール手順については以下のリンク先を参照してください。

• Fluent Package ダウンロード (RHEL/Amazon Linux, Ubuntu/Debian, Windowsに対応)
• インストールガイド (パッケージごとにインストール手順を案内しています)

まとめ

今回は、Fluent Package v6.0.4のリリース情報をお届けしました。 本リリースでは、主に脆弱性対応を実施しています。

ユーザーの皆さまは、リスク管理の観点からFluent Package v6 LTS v6.0.4へのアップデートをご検討ください。

脆弱性診断キャンペーン

クリアコードのFluentdサポートサービスでは、td-agentからの移行支援や、バージョンアップ支援等を実施しています。 それらの知見を活かし、fluent-package v6.0.4にて修正された脆弱性が影響するかどうか、設定ファイルを診断するための支援ツールを開発・公開しました。

• fluent-vulnerability_checker

上記ツールは無償でご利用いただけますが、先着数社様限定で、設定が影響を受けるかどうかの無料診断キャンペーンを実施しています。（予定社数に達し次第終了いたします。） お問い合わせフォームよりお気軽にお問い合わせください。

日本コミュニティ向けのXアカウントをはじめました。日々、Fluentdに関する情報を発信しております。 ぜひ @fluentd_jp をフォローしてください！

ツイートする

フォローする