お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ Apache Solr: Authentication bypass possible using a fake URL Path ending
（訳：Apache Solr：偽のURLパスの末尾を使用することで認証をバイパスする可能性があります）

重要度：

重要

影響するバージョン：

• Apache Solr 5.3.0 から 8.11.4より前（8.11.4は含まれません）（弊社RCSS： 2.0.0 から 4.3.0）
• Apache Solr 9.0.0 から 9.7.0より前（9.7.0は含まれません）（Solr 9.0以降弊社RCSSは、Solr本体を同梱しておりません）

説明：

Apache Solrにおける不適切な認証の脆弱性。

Solr認証が有効な場合にデフォルトで使用されるPKIAuthenticationPluginを利用しているSolrインスタンスは、認証バイパスの脆弱性があります。任意のSolr API URLパスの末尾に偽のパスを付け加えることで、元のURLパスのAPI契約を維持しつつ認証をスキップすることが可能になります。この偽の末尾は、認証後に内部で除去され、APIルーティング前に無防備なAPIパスのように見えるためです。

回避策：

ユーザーは、この問題を修正したバージョン9.7.0または8.11.4にアップグレードすることを推奨します。

クレジット：

Liu Huajin (報告者)

参考情報：

JIRA – SOLR-17417

CVE – CVE-2024-45216

原文：

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。

Tweet