お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース：

• rel-0.8.5 （Tomcat 6.0.35）
• rel-0.9.0 （Tomcat 6.0.35）
• rel-0.10.1（Tomcat 6.0.35）

○ CVE-2012-3439 Apache Tomcat DIGEST authentication weaknesses
重要度：中

DIGEST認証のTomcatの実装において、3つの脆弱性が確認され、解決されました：

1. Tomcatはサーバーのノンス（使い捨て乱数データ；ワンタイムパスワード）およびノンスカウントではなく、クライアントを監視していました。
2. セッションIDが提示されると、認証が回避されていました。
3. ノンスが無効になったと示されてもユーザー名とパスワードがチェックされませんでした。

これらの問題は、ある状況下においてリプレーアタック（正規利用者がシステムに
ログインするときの通信を傍受・記録した攻撃者が、後で同内容を送信することで
認証を突破しようとする試み）を可能にし、DIGEST認証のセキュリティを弱体化させます。

回避策：
下記の回避策をお取りください：
– Tomcat 7.0.x ユーザーは 7.0.30 以降にアップグレードする
– Tomcat 6.0.x ユーザーは 6.0.36 以降にアップグレードする
– Tomcat 5.5.x ユーザーは 5.5.36 以降にアップグレードする

クレジット：
最初の問題は Tilmann Kuhn によって発見されました。2番目と3番目の問題は
最初の問題をレビューしているときにTomcatセキュリティチームによって
発見されました。

参考情報：
http://tomcat.apache.org/security.html
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-5.html

当社の今後の対応について：
次回リリース時に Tomcat 6.0.36 を同梱いたします。
それまではお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。

以上、今後ともよろしくお願い申し上げます。