お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2017-7660: Security Vulnerability in secure inter-node communication in Apache Solr

重要度：重要

ベンダー：The Apache Software Foundation

影響するバージョン：

• Solr 5.3 から 5.5.4
• Solr 6.0 から 6.5.1
• 弊社サブスクリプション 2.1.0 から 3.0.1

説明：

Solr はセキュリティ設定を有効にしているとき、ノード間コミュニケーションをセキュアにする ために PKI ベースのメカニズムを使用しています。クラスターに存在しない、特別に技巧された ノード名を作成することが出来、それが悪意あるノードを指すことが可能です。これにより、 クラスター内のノードが、その悪意あるノードがクラスターメンバーであると信用させてしまう ことができます。したがって、BasicAuthPlugin を使って BasicAuth 認証を有効にしている、 もしくは、カスタムの認証プラグインを実装している Solr ユーザで “HttpClientInterceptorPlugin” または “HttpClientBuilderPlugin” を実装していない場合は、そのサーバーはこの攻撃に 対して脆弱性があります。基本認証なしで SSL のみを使用しているユーザーまたは Kerberos を 使っているユーザーは該当しません。

回避策：

• 6.x ユーザーは 6.6 にアップグレードしてください。
• 5.x ユーザーは最新のソースコードを git より取得して、以下のパッチを適用してください。
  http://git-wip-us.apache.org/repos/asf/lucene-solr/commit/2f5ecbcf
• 弊社サブスクリプション 2.1.0 から 3.0.1 ユーザーは 3.1.0 にアップグレードしてください。

クレジット：

本問題は Lucidworks 社の Noble Paul 氏により発見されました。

参考情報：
https://issues.apache.org/jira/browse/SOLR-10624
https://wiki.apache.org/solr/SolrSecurity

Lucene PMC より。

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

以上、今後ともよろしくお願い申し上げます。

Tweet