お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース：

• rel-0.5.3 (Tomcat 6.0.32)
• rel-0.6.3 (Tomcat 6.0.32)
• rel-0.7.2 (Tomcat 6.0.32)

○ CVE-2011-2204 Apache Tomcat information disclosure
重要度：低

MemoryUserDatabase (tomcat-users.xmlベース）を使いJMX経由でユーザを作成したときユーザ作成中にもし例外が発生すると、JMXクライアントへのエラーメッセージ内にユーザの パスワード情報も含まれてしまいます。このエラーメッセージはTomcatのログにも書き込まれます。ユーザのパスワードはJMXアクセスおよびtomcat-users.xmlのリードアクセス権のある管理者に 見えてしまいます。また一般ユーザであっても、ログファイルのリードアクセスが可能な場合は、やはりユーザのパスワードが見えてしまいます。

Tomcat開発チームは、当該ソースコードを改変して意図的な例外を発生させないと、このエラーを再現させることができませんでした。理論的には、OutOfMemoryErrorの発生により、 この脆弱性が再現する可能性があります。

回避策：

• MemoryUserDatabaseをJMX経由で管理しない
• ダイジェストパスワードを用いる
• ログファイルへのアクセスを制限する
• 以下の適切なパッチを適用する
  • 7.0.x: http://svn.apache.org/viewvc?rev=1140070&view=rev
  • 6.0.x: http://svn.apache.org/viewvc?rev=1140071&view=rev
  • 5.5.x: http://svn.apache.org/viewvc?rev=1140072&view=rev

クレジット：
この問題は、Polina Genovaによって発見され、Tomcat開発チームにメール経由でプライベートに知らされました。

参考情報：

• http://tomcat.apache.org/security.html
• http://tomcat.apache.org/security-7.html
• http://tomcat.apache.org/security-6.html
• http://tomcat.apache.org/security-5.html

当社の今後の対応について：
今回発表されたセキュリティ警告についてはTomcat 6.0.33にて改修されます。再現する可能性が低いので、次期プラグインリリース0.8からTomcat 6.0.33を使用いたします。

以上、今後ともよろしくお願い申し上げます。