セキュリティ

SECURITY

公開：2025-05-16

vLLM 0.8.5以前のバージョンにおけるZeroMQ関連の脆弱性情報公開、サービス拒否とデータ漏洩のリスク

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• vLLM 0.8.5以前のバージョンの脆弱性情報が公開された
• マルチノード環境でのZeroMQ通信におけるサービス拒否とデータ漏洩の脆弱性
• 0.8.5へのアップデートで修正済み

vLLMの脆弱性情報公開

GitHubは2025年4月30日、大規模言語モデル(LLM)のための推論・サービスエンジンであるvLLMの脆弱性に関する情報を公開した。この脆弱性は、CVE-2025-30202として登録されており、vLLMバージョン0.5.2から0.8.5までのバージョンに影響を与えるものだ。

具体的には、マルチノード展開におけるZeroMQ通信において、サービス拒否(DoS)攻撃とデータ漏洩のリスクが存在する。攻撃者は、vLLMホストのXPUB ZeroMQソケットに接続することで、内部状態情報を取得できる可能性があるのだ。このデータ自体は攻撃者にとって直接的に有用な情報ではないものの、大量の接続によるサービス拒否攻撃も可能である。

この脆弱性は、vLLMがマルチノード通信にZeroMQを使用し、XPUBソケットを全てのインターフェースにバインドしていることが原因である。ファイアウォールでポートがブロックされていない限り、ネットワークアクセスを持つ任意のクライアントが接続できるのだ。接続されたクライアントは、セカンダリvLLMホストにブロードキャストされるのと同じデータを受信する。この問題を解決するためには、vLLMをバージョン0.8.5以上にアップデートする必要がある。

この脆弱性により、vLLMを使用するサービスは、サービス拒否攻撃やデータ漏洩のリスクにさらされる可能性があった。幸い、この脆弱性は既にパッチが適用されたバージョン0.8.5で修正されているため、ユーザーは速やかにアップデートを行うべきだ。

脆弱性詳細

GitHub Security Advisory

ZeroMQについて

ZeroMQは、高性能な非同期メッセージングライブラリである。分散アプリケーションにおける高速で信頼性の高い通信を可能にする。様々なプログラミング言語に対応しており、様々なプラットフォームで利用できる。

• 高速なメッセージング
• 非同期通信
• 様々な言語・プラットフォーム対応

ZeroMQは、分散システムにおけるデータのやり取りを効率的に行うために設計されている。そのため、vLLMのようなマルチノード環境での利用に適しているが、適切なセキュリティ対策が施されていない場合、今回のような脆弱性につながる可能性があるのだ。

vLLM脆弱性に関する考察

今回のvLLMの脆弱性は、マルチノード環境におけるZeroMQの使用方法に問題があったことが原因である。開発者は、セキュリティを考慮した上で、ZeroMQを使用する必要があることを改めて認識すべきだ。特に、公開されているインターフェースへのアクセス制御は、非常に重要である。

今後、同様の脆弱性が他の分散システムでも発見される可能性がある。そのため、開発者は、セキュリティに関するベストプラクティスを遵守し、定期的なセキュリティ監査を行う必要があるだろう。また、オープンソースソフトウェアを利用する際には、最新のセキュリティ情報を常に確認し、迅速なアップデートを行うことが重要だ。

vLLMのような大規模言語モデルのサービス提供においては、セキュリティ対策の強化が不可欠である。ユーザーデータの保護、サービスの安定稼働を確保するためにも、開発者、運用者双方による継続的な努力が求められるだろう。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-30202」. https://www.cve.org/CVERecord?id=CVE-2025-30202, (参照 25-05-16).
2628

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧