お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ 2021-12-10, Apache Solr affected by Apache Log4J CVE-2021-44228

重要性：重要

影響するバージョン：Solr 7.4.0 から 7.7.3 および 8.0.0 から 8.11.0, RCSS 4.0.1 から 4.2.0, KandaSearch の全バージョン

8.11.1 より前の Apache Solr において RCE 脆弱性の問題がある Apache Log4j ライブラリをバンドルしているものが対象になります。より詳しい内容については、Log4jのセキュリティページを参照してください。

7.4 より前の Apache Solr で Log4j 1.2.17 を使っているバージョン、つまり Solr 5、 6、 7 から 7.3 について、もし JMS Appender を含むデフォルトでないログ設定を使っている場合、脆弱性がある可能性があります。https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126で議論されていますので参照してください。

Prometheus Exporter Contrib も Log4j2 を使用していますが、ユーザー入力をログ出力しているわけではないので問題はありません。（2021年12月17日更新）

Apache Solr は CVE-2021-45046 についての脆弱性はありません。なぜなら Solr で使われている MDC パターンはコレクション、シャード、レプリカ、コア、ノード名そして可能なトレースIDであり、これらはすべてサニタイズされています。以下の回避策で述べられている log4j2.formatMsgNoLookups=true を追加するだけで十分です。（2021年12月17日追記）

回避策：以下の対策を取ってください。

• Solr 8.11.1以降（がリリースされ次第）にアップグレードする。
• もしSolrのオフィシャルDockerイメージを使っているなら、Dockerハブ上のSolrは全バージョンが回避策が適用されている。https://hub.docker.com/_/solrからイメージを再度pullする。（2021年12月17日追記）
• 手作業にてLog4j2を2.16.0にアップグレードしてクラスパスに加え、Solrを再起動する。（2021年12月17日更新）
• (Linux/MacOS) solr.in.sh を編集して SOLR_OPTS=”$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true” の行を加え、Solrを再起動する。
• (Windows) solr.in.cmd を編集して set SOLR_OPTS=%SOLR_OPTS% -Dlog4j2.formatMsgNoLookups=true の行を加え、Solrを再起動する。
• https://logging.apache.org/log4j/2.x/security.htmlに掲載されているどれかの回避策を採る。

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。Solr 8.11.1に対応したサブスクリプションは年内〜年明けにリリースを予定しています。

KandaSearchのお客様は、弊社側での対応が12月17日中に完了します。お客様ご自身でご対応いただける場合は、solr.in.sh を編集して SOLR_OPTS=”$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true” の行を加え、Solrの再起動を行ってください。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。

Tweet