INFORMATION
ニュース
[Solrプラグイン] セキュリティ警告:CVE-2013-2067 Session fixation with FORM authenticator
お客様各位
平素はお引き立てを賜り、ありがとうございます。
Apache Foundationより当社のプラグインに含まれますTomcatについて、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象Solrプラグインリリース:
重要度:重要
フォーム認証は認証が必要な最新のリクエストを現在のセッションに関連づけます。
犠牲者がログインフォームを完了する間認証済みのリソースのためにリクエストを
繰り返し送ることにより、アタッカーは犠牲者の承認を使うリクエストをインジェクト
できてしまいます。この攻撃はログインページの表示前だけでなくユーザーが
認証に成功した後にもセッションIDを変更することで防ぐことができます。
回避策:
下記の回避策をお取りください:
– Tomcat 7.0.x ユーザーは 7.0.33 以降にアップグレードする
– Tomcat 6.0.x ユーザーは 6.0.37 以降にアップグレードする
クレジット:
本問題は Tomcat セキュリティチームによって発見されました。
参考情報:
http://tomcat.apache.org/security.html
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html
当社の今後の対応について:
RCSS 1.x 系に同梱されるTomcatは7.0.33以降であり特に対応は必要ありません。
RCSS 0.x 系に同梱されるTomcatは6.0.36以前ですが、RCSS 0.x 系の今後の
リリースは予定しておりません。
該当するお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。
以上、今後ともよろしくお願い申し上げます。
平素はお引き立てを賜り、ありがとうございます。
Apache Foundationより当社のプラグインに含まれますTomcatについて、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象Solrプラグインリリース:
- rel-0.10.4 (Tomcat 6.0.36)
- rel-0.9.2 (Tomcat 6.0.36)
重要度:重要
フォーム認証は認証が必要な最新のリクエストを現在のセッションに関連づけます。
犠牲者がログインフォームを完了する間認証済みのリソースのためにリクエストを
繰り返し送ることにより、アタッカーは犠牲者の承認を使うリクエストをインジェクト
できてしまいます。この攻撃はログインページの表示前だけでなくユーザーが
認証に成功した後にもセッションIDを変更することで防ぐことができます。
回避策:
下記の回避策をお取りください:
– Tomcat 7.0.x ユーザーは 7.0.33 以降にアップグレードする
– Tomcat 6.0.x ユーザーは 6.0.37 以降にアップグレードする
クレジット:
本問題は Tomcat セキュリティチームによって発見されました。
参考情報:
http://tomcat.apache.org/security.html
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html
当社の今後の対応について:
RCSS 1.x 系に同梱されるTomcatは7.0.33以降であり特に対応は必要ありません。
RCSS 0.x 系に同梱されるTomcatは6.0.36以前ですが、RCSS 0.x 系の今後の
リリースは予定しておりません。
該当するお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。
以上、今後ともよろしくお願い申し上げます。
INFORMATION
KandaSearch
KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。
セミナー
企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!