お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ Apache Solr can leak certain passwords due to System Property redaction logic inconsistencies
（訳：Apache Solrでは、システムプロパティの隠蔽ロジックの不整合により、特定のパスワードが漏洩する可能性があります）

重要度：

中

影響するバージョン：

• Apache Solr 6.0.0 から 8.11.2（弊社RCSS： 2.3.0 から 4.3.0）
• Apache Solr 9.0.0 から 9.3.0より前（9.3.0は含まれません）（Solr 9.0以降弊社RCSSは、Solr本体を同梱しておりません）

説明：

Apache Solrにおける「不十分な保護の資格情報（Insufficiently Protected Credentials）」の脆弱性が報告されています。

この問題は、Apache Solrの6.0.0から8.11.2、9.0.0から9.3.0のバージョンに影響します。SolrプロセスのJavaシステムプロパティを公開する2つのエンドポイントのうちの1つである /admin/info/properties は、名前に「password」が含まれているシステムプロパティのみを隠すように設定されていました。
"basicauth"や"aws.secretKey"などのいくつかの機密システムプロパティは、"password"を含んでいないため、その値が"/admin/info/properties"エンドポイントを介して公開されていました。
このエンドポイントは、Solr Adminページのホーム画面のシステムプロパティに一覧表示されます。これにより、UIで資格情報が見えるようになっていました。

この /admin/info/properties エンドポイントは、「config-read」権限の下で保護されています。したがって、認証が有効になっているSolrクラウドは、「config-read」権限を持つログインユーザーを介してのみ脆弱です。ユーザーは、問題を修正したバージョン9.3.0または8.11.3にアップグレードすることが推奨されています。新しいオプション、"-Dsolr.hiddenSysProps"が導入され、すべてのエンドポイントでJavaシステムプロパティを非表示にすることができます。デフォルトでは、すべての既知の機密プロパティ（"-Dbasicauth"を含む）および名前に "secret" または "password" を含むプロパティが非表示にされます。

アップグレードできないユーザーは、次のJavaシステムプロパティを使用して問題を修正できます：

-Dsolr.redaction.system.pattern=".*(password|secret|basicauth).*"

回避策：

ユーザーには、一貫したsystemPropertyの隠蔽ロジックを持つバージョン8.11.3、9.3.0またはそれ以降にアップグレードすることが推奨されています。

クレジット：

Michael Taggart (報告者)

参考情報：

JIRA – SOLR-16809

CVE – CVE-2023-50291

原文：

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。

Tweet