お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ Apache Solr can expose ZooKeeper credentials via Streaming Expressions
（訳：Apache Solrは、Streaming Expressions（ストリーミング言語）を介してZooKeeperの資格情報を公開する可能性があります）

重要度：

低

影響するバージョン：

• Apache Solr 6.0.0 から 8.11.2（弊社RCSS： 2.3.0 から 4.3.0）
• Apache Solr 9.0.0 から 9.4.1より前（9.4.1は含まれません）（Solr 9.0以降弊社RCSSは、Solr本体を同梱しておりません）

説明：

Apache Solrにおける「権限のないアクターへの機密情報の露出（Exposure of Sensitive Information to an Unauthorized Actor）」の脆弱性が報告されています。この問題は、Apache Solrの6.0.0から8.11.2、9.0.0から9.4.1より前のバージョンに影響します。

Solr Streaming Expressions（ストリーミング言語）は、ユーザーが「zkHost」というパラメータを使用して、他のSolrクラウドからデータを抽出することを可能にします。元のSolrCloudがZooKeeperの資格情報とACLを使用するように設定されている場合、ユーザーが提供する「zkHost」にそれらが送信されます。攻撃者は、ニセのZooKeeperをセットアップすることで、資格情報とACLを含むZooKeeperリクエストを受け入れ、機密情報を抽出できます。その後、攻撃者は「zkHost」にニセのサーバーのアドレスを使用してStreaming Expressions（ストリーミング言語）を送信することができます。Streaming Expressions（ストリーミング言語）は、READ権限が与えられた"/streaming"ハンドラを介して情報を露出させます。

回避策：

ユーザーには、問題を修正したバージョン8.11.3または9.4.1にアップグレードすることが推奨されています。これらのバージョンからは、chrootに関係なく、サーバーアドレスが同じである（chrootに関係なく）zkHost値は、接続時に指定されたZooKeeperの資格情報とACLを使用します。

クレジット：

参考情報：

JIRA – SOLR-17098

CVE – CVE-2023-50298

原文：

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。

Tweet