INFORMATION
ニュース
[Solrプラグイン] セキュリティ警告:Apache Tomcat and the hashtable collision DoS vulnerability
お客様各位
平素はお引き立てを賜り、ありがとうございます。
Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象Solrプラグインリリース:
すべて
内容:
最近発表されたJavaのハッシュテーブルの実装を要因とする脆弱性の記事[1]をすでにご覧になっているかもしれません。Apache TomcatはHTTPリクエストパラメータを保持するためにハッシュテーブルを使用しているため、この脆弱性に該当いたします。
記事[1]によれば、オラクル社はこの脆弱性の対応をJREで行わないとのことです。
Tomcatはこの問題に対する回避策を、単一リクエストにおける処理可能なパラメータ数の上限を設定するために用意された新しいパラメータ(maxParameterCount)をすでに提供しています。このデフォルト値は10000です。この数値はどんなアプリケーションにおいても十分大きく、また、DoS攻撃への効果を軽減するのにも十分小さい値といえます。
本回避策は以下のバージョンで利用可能です:
また、5.5系は5.5.35がリリースされたら、こちらでも利用可能です。
maxParameterCountパラメータを持たない以前のApache Tomcatを利用している場合は、maxPostSizeパラメータを数十kBに限定することでこの問題を軽減することができるでしょう。
本件はApache Tomcatの脆弱性としては表出しませんが、アプリケーションがこの問題で影響を受ける可能性があるため、ユーザに回避策をお知らせするため、Apache Tomcatセキュリティチームは今回アナウンスを行いました。
Apache Tomcatセキュリティチーム
[1] http://www.nruns.com/_downloads/advisory28122011.pdf
以上、今後ともよろしくお願い申し上げます。
平素はお引き立てを賜り、ありがとうございます。
Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象Solrプラグインリリース:
すべて
内容:
最近発表されたJavaのハッシュテーブルの実装を要因とする脆弱性の記事[1]をすでにご覧になっているかもしれません。Apache TomcatはHTTPリクエストパラメータを保持するためにハッシュテーブルを使用しているため、この脆弱性に該当いたします。
記事[1]によれば、オラクル社はこの脆弱性の対応をJREで行わないとのことです。
Tomcatはこの問題に対する回避策を、単一リクエストにおける処理可能なパラメータ数の上限を設定するために用意された新しいパラメータ(maxParameterCount)をすでに提供しています。このデフォルト値は10000です。この数値はどんなアプリケーションにおいても十分大きく、また、DoS攻撃への効果を軽減するのにも十分小さい値といえます。
本回避策は以下のバージョンで利用可能です:
- trunk
- 7.0.23 以前
- 6.0.35 以前
また、5.5系は5.5.35がリリースされたら、こちらでも利用可能です。
maxParameterCountパラメータを持たない以前のApache Tomcatを利用している場合は、maxPostSizeパラメータを数十kBに限定することでこの問題を軽減することができるでしょう。
本件はApache Tomcatの脆弱性としては表出しませんが、アプリケーションがこの問題で影響を受ける可能性があるため、ユーザに回避策をお知らせするため、Apache Tomcatセキュリティチームは今回アナウンスを行いました。
Apache Tomcatセキュリティチーム
[1] http://www.nruns.com/_downloads/advisory28122011.pdf
以上、今後ともよろしくお願い申し上げます。
INFORMATION
KandaSearch
KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。
セミナー
企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!