#Netzwerk & Sicherheit · 4 Min. Lesezeit · Tim Rinkel

POLARIS-ALARM! CVSS 9.9 reißt deine Cloud-Storage-Tokens auf — JETZT auf 1.3.2 patchen!

POLARIS-ALARM! CVSS 9.9 reißt deine Cloud-Storage-Tokens auf — JETZT auf 1.3.2 patchen!

Wer Apache Iceberg mit dem offenen Catalog Polaris betreibt, sollte JETZT alles stehen und liegen lassen. Am 4. Mai 2026 wurde mit CVE-2026-42809 eine Lücke veröffentlicht, die sich Angreifer zunutze machen können, um sich beliebige Storage-Tokens ausstellen zu lassen — Bucket-übergreifend, mit Schreib- und Leserechten. CVSS 9.9, höchste Stufe knapp unter „kritisch perfekt“. Hier ist, was Self-Hoster und Data-Engineers JETZT wissen müssen.

SCHOCK: Polaris-Tokens für jedes Bucket

Apache Polaris ist der offene Iceberg-Catalog, der bei vielen Datenteams das Rückgrat von Spark, Trino und Snowflake bildet. Sein zentraler Trick heißt Credential Vending: Polaris stellt kurzlebige, eingegrenzte Storage-Tokens aus, damit Compute-Engines auf Object-Storage zugreifen können, ohne lange laufende Schlüssel zu sehen.

Genau dieser Mechanismus hat jetzt einen fundamentalen Bug. Wer beim stage create-Aufruf einen eigenen location-Wert oder die Properties write.data.path und write.metadata.path mitschickt, bekommt von Polaris ein Storage-Token auf genau diesen Pfad — auch wenn er außerhalb des erlaubten Profils liegt. Polaris validiert den Pfad nach dem Vending, nicht davor.

UNGLAUBLICH: 9.9 von 10

Das CVSS-Rating sagt alles: 9.9, „network attack vector“, „no privileges required“, „high impact“ in allen drei Kategorien. NVD und ThreatInt haben den Eintrag am 4. Mai veröffentlicht. Es ist genau die Sorte Bug, die in Data-Lake-Setups jahrelang unsichtbar bleiben kann — schließlich loggen Storage-Provider den Token-Aussteller, nicht den Pfad-Initiator.

Public-PoC ist laut Sicherheitsforschern noch nicht draußen. Aber: Die technische Beschreibung in der CVE-Note ist so detailliert, dass eine Reproduktion in wenigen Stunden machbar sein dürfte. Heißt für dich: Du hast vermutlich Stunden, nicht Tage.

HAMMER: Die Patch-Anleitung in 5 MINUTEN

  1. Polaris-Version checkenpolaris --version oder im Helm-Chart nach image.tag suchen.
  2. Auf 1.3.2 oder neuer updaten — dort ist die Pfad-Validierung VOR dem Vending implementiert.
  3. Storage-Profile durchsehen — die erlaubten Pfade jetzt eng schneiden, Wildcards entfernen.
  4. Audit-Logs durchgrep — nach Token-Aussagen suchen, die zu Pfaden außerhalb des Profils führen.
  5. Stage-Create temporär abschalten, falls der Patch nicht sofort möglich ist.

EXTRA-TIPP: IAM minimal schneiden

Auch ohne Polaris-Bug ist es eine gute Idee, dem Catalog-Service nur Zugriff auf seine Buckets zu geben. Viele Setups laufen noch mit S3-Wildcard-Rechten („für alle Iceberg-Buckets“) — das macht aus einem Polaris-Leak einen Cross-Bucket-Daten-Diebstahl. Engerschneiden, jetzt.

SO ordnet sich der Bug in die Polaris-Welle ein

CVE-2026-42809 ist nicht allein. ThreatInt listet zwei weitere Polaris-Lücken aus dem April-Bündel: CVE-2026-42810 (S3-Policy-Bypass über Wildcard-Tabellennamen) und CVE-2026-42812 (Metadata-Write-Bypass plus Credential Vending). Wer 1.3.2 einspielt, fängt alle drei mit einem Patch ab.

FAZIT: Wenn dein Data-Lake auf Apache Polaris steht, schiebe das Update vor alle anderen Tasks. Storage-Tokens sind das Rückgrat moderner Data-Lakes — und genau dieses Rückgrat hat gerade einen Riss. Patch JETZT, prüfe IAM, ziehe Audit-Logs.

Quellen

Häufige Fragen

Was macht Apache Polaris überhaupt?
Polaris ist der offene Iceberg-Catalog-Service unter dem Apache-Dach. Er gibt anderen Tools wie Spark, Trino oder Snowflake Zugriff auf Tabellen, die in Object-Storage liegen — und stellt dafür kurzlebige „vended“ Credentials aus. Genau dieses Vending hat CVE-2026-42809 ausgehebelt: Angreifer können den Pfad der Tokens umlenken.
Wer ist betroffen?
Alle Polaris-Versionen, in denen das Staged-Create für Tabellen aktiviert ist und kein Patch eingespielt wurde — sprich alles vor 1.3.2. Besonders kritisch sind Setups, in denen Polaris als zentraler Catalog für viele Buckets dient (Data Lakes mit gemeinsamem Bucket-Namespace).
Wie sieht der Patch aus?
Der Polaris-PMC hat 1.3.2 veröffentlicht, das die Pfad-Validierung beim Staged-Create vorzieht. Ab Version 1.3.2 werden write.data.path und write.metadata.path strikt gegen das definierte Storage-Profile geprüft, bevor irgendein Token ausgestellt wird. Dazu kommt eine Check-List für Storage-Pfad-Filter.
Was, wenn ich nicht sofort updaten kann?
Schalte das Staged-Create-Feature in deinem Polaris-Catalog vorübergehend ab oder erlaube nur eine streng begrenzte Liste an Pfaden. Außerdem solltest du in CloudTrail / GCS-Audit-Logs nach Token-Vergaben suchen, die in fremden Pfaden enden — das wäre der Indikator für eine aktive Ausnutzung.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert