お客様各位

平素はお引き立てを賜り、ありがとうございます。

Solr本体にセキュリティ上の脆弱性が確認されましたのでお知らせします。

対象Solrプラグインリリース：
すべてのバージョン

solrconfig.xmlにPingRequestHandlerが指定されているとき：

<requestHandler name="/admin/ping" class="PingRequestHandler">
  <lst name="defaults">
    <str name="qt">standard</str>
    <str name="q">solrpingquery</str>
  </lst>
</requestHandler>

qtパラメータに/admin/pingが指定されると無限ループに陥り、StackOverFlowErrorが発生する。

回避策：

• PingRequestHandlerをsolrconfig.xmlに登録しない
• qtパラメータをinvariantsに指定する

  <requestHandler name="/admin/ping" class="PingRequestHandler">
    <lst name="invariants">
      <str name="qt">standard</str>
    </lst>
  </requestHandler>
  

• SOLR-2631のパッチを適用する
  • https://issues.apache.org/jira/browse/SOLR-2631

当社の今後の対応について：
上記回避策「PingRequestHandlerをsolrconfig.xmlに登録しない」または「qtパラメータをinvariantsに指定する」をお奨めします。なお、次期リリース0.8は本脆弱性に対する修正が含まれ、回避策の必要はありません。

以上、今後ともよろしくお願い申し上げます。