お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ Apache Solr is vulnerable to CVE-2022-39135 via /sql handler

影響するバージョン：

• Apache Solr 6.5 から 8.11.2 （弊社RCSS： 3.1.0 から 4.3.0）
• Apache Solr 9.0 （弊社RCSSには対応するバージョンがありません）

説明：

Apache CalciteはCVE-2022-39135で報告されている脆弱性を持っており、Apache SolrをSolrCloudモードで使っているときに利用できてしまいます。もし信頼できないユーザーがSolrの”/sql”ハンドラーにSQL文を投げられると（それがプロキシや他のアプリケーションなど直接的なSolrへのアクセスでなくても）、ユーザーはXML External Entity（XXE）アタックが可能です。このハンドラーはJDBCベースのツールを使って内部分析を行う限られたSolr開発者によって公開されているかもしれませんが、広く一般に公開されているものではないと考えられます。

影響：

XXEアタックは機密性の高いデータの開示、サービス拒否、サーバーサイド・リクエスト・フォージェリ（SSRF）、Solrノードからのポートスキャン、その他のシステム影響を引き起こすことが考えられます。

回避策：

ほとんどのSolrインストールはSQLを実行可能なようになっていません。そのような利用者はファイアーウォールを用いた標準的なSolrのセキュリティガイドに従っていれば大丈夫です。また、当該機能は利用不可にできます。Apache Solr 9からは、当該機能はモジュール化され、それゆえオプトインになったので、Solr 9利用者で当該機能を使用していなければ何もする必要がありません。またSolrCloudを使っていないユーザーは当該機能は全く使えません。その他の利用者で当該機能を無力化したい場合は、solrconfig.xmlにて以下の設定をしてください。

<requestHandler name="/sql" class="solr.NotFoundRequestHandler"/>

このSQL機能を使いたい利用者はSolr 9.1にアップグレードする必要があります。もし、Solr 8.11.3がリリースされたらそれも選択肢になり得ます。Calciteライブラリと関連JARファイルの置き換えでも機能する可能性はありますが、特定のクエリで失敗する可能性があります。この方法で回避を行う場合は、SOLR-16421を参考にしてください。

クレジット：

この問題は、 CoreMedia GmbHのAndreas Huboldによって報告されました。

参考情報：

https://nvd.nist.gov/vuln/detail/CVE-2022-39135

https://issues.apache.org/jira/browse/SOLR-16421

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。