INFORMATION
サブスクリプション

[更新]セキュリティ警告:CVE-2017-5644 – Possible DOS (Denial of Service) in Apache POI versions prior to 3.15

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、3/20 に Apache POI コミュニティにてアナウンスされましたセキュリティ関連の勧告について、新たに判明した事実に基づき、対象のApache Solrのバージョンを、以下の通り更新いたします。

■ 対象のApache Solrのバージョン
6.2.0 より前のバージョン (以前の告知では全てのバージョン)

■ 脆弱性の内容

以下、 Apache POI コミュニティからの勧告(翻訳)

= CVE-2017-5644 – Possible DOS (Denial of Service) in Apache POI versions prior to 3.15  =
対象リリースバージョン: 3.15より前の全てのバージョン
種類: サービス拒否
説明:
3.15 より前のバージョンの Apache POI は遠隔地の攻撃者により細工された OOXML ファイルでXML Entity Expantion(XEE) が引き起こされることによる DoS 攻撃で大量のCPUリソースが消費される可能性があります。
Apache POI を利用しており、外部や信頼できないソースからドキュメントを受け取っているシステムをお持ちの場合には、Apache POI 3.15 以降のバージョンへのアップグレードを推奨します。


■ Apache Solr 利用者への影響
6.2.0より前のバージョンで、”contrib/extraction”フォルダ配下の”Apache Solr Content Extraction Library (Solr Cell)”モジュールを有効にしているSolr利用者はこれらの問題に該当します。

該当するバージョンのApache Solr利用者でPOIの機能を使っていない場合は無効化することをお勧めします。
また、ご利用されている場合には、OOXMLデータ(docx, xlsx, pptxなど)の取り込み元の見直しをご検討ください。

脆弱性を含む 2.3.0 より前のサブスクリプションをご利用で、当該機能をご利用のお客様はバージョンアップをご検討ください。

サポートサービスご加入のお客様は、上記手順を参考にして必要な対応を実施していただきますようお願いいたします。

以上、今後ともよろしくお願い申し上げます。

KandaSearch

KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。

  • セマンティックサーチ

    人間が理解するように検索エンジンがテキストや画像を理解して検索できます。

  • クローラー

    検索対象文書を収集するWebクローラーが使えます。

  • 簡単操作のUIと豊富なライブラリー

    検索や辞書UIに加え、定義済み専門用語辞書/類義語辞書やプラグインがあります。

  • ローコードで低コスト導入

    検索UIで使い勝手を調整した後、Webアプリケーションを自動生成できます。

セミナー

企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!