INFORMATION
サービス
セキュリティ警告:Recommendation to update Commons Collections in Apache ManifoldCF 1.x and 2.x installations
お客様各位
平素はお引き立てを賜り、ありがとうございます。
弊社 Apache ManifoldCF のサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。
—
Apache ManifoldCF 1.x, 2.x にバンドルされる Apache Commons Collections 3.2.1 には下記に該当する脆弱性があります:
= CWE-502: Deserialization of Untrusted Data =
デシリアライズ時に、信頼できないデータをデシリアライズし、任意のコードを実行される脆弱性があります。
—
既存の ManifoldCF(1.x,2.x) にパッチを適用する場合は、以下の手順で該当の JAR ファイルを入れ替えてください。
1) JAR ファイルの入手
http://commons.apache.org/proper/commons-collections/download_collections.cgi より commons-collections-3.2.2.jar を入手します。
2) JAR ファイルの置き換え
$ cp commons-collections-3.2.2.jar {MCFインストールディレクトリ}/lib $ rm {MCFインストールディレクトリ}/lib/commons-collections-3.2.1.jar
3) env ファイルの書き換え
※ Windows環境であれば、拡張子が win であるもの、Unix,Linux環境では unix であるものを書き換えれば問題ありません。
{MCFインストールディレクトリ}/lib/start-options.env.xxx ...;..\lib\commons-collections-3.2.1.jar;... → ...;..\lib\commons-collections-3.2.2.jar;... {MCFインストールディレクトリ}/lib/combined-options.env.xxx ...;..\lib\commons-collections-3.2.1.jar;... → ...;..\lib\commons-collections-3.2.2.jar;... {MCFインストールディレクトリ}/script-engine/options.env.xxx ...;..\lib\commons-collections-3.2.1.jar;... → ...;..\lib\commons-collections-3.2.2.jar;...
上記手順後、ManifoldCF を再起動してください。
尚、弊社にて、以下のリポジトリに対して正しく動作することを確認しております。
これら以外のリポジトリをお使いのお客様は弊社までお問い合わせ下さい。
以上、今後ともよろしくお願い申し上げます。
INFORMATION
KandaSearch
KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。
セミナー
企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!