お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ Apache Solr: ConfigSets created during a backup restore command are trusted implicitly
（訳：Apache Solr：バックアップ復元コマンド中に作成されたConfigSetsは暗黙的に信頼されます）

重要度：

中

影響するバージョン：

• Apache Solr 6.6.0 から 8.11.4より前（8.11.4は含まれません）（弊社RCSS： 3.1.0 から 4.3.0）
• Apache Solr 9.0.0 から 9.7.0より前（9.7.0は含まれません）（Solr 9.0以降弊社RCSSは、Solr本体を同梱しておりません）

説明：

Apache Solrにおけるリソースの不安全なデフォルト初期化の脆弱性。

バックアップからConfigSetをコピーして新しい名前を付けるRestoreコマンドによって作成される新しいConfigSetは、「trusted」メタデータが設定されずに作成されます。メタデータが欠落している場合、そのConfigSetは暗黙的に信頼されるため、認証されたリクエストで作成されていない「trusted」ConfigSetが存在する可能性があります。「trusted」ConfigSetはクラスローダーにカスタムコードを読み込むことができるため、本来はConfigSetのアップロードリクエストが認証および認可された場合にのみこのフラグが設定されるべきです。

回避策：

この問題は、Apache Solrのバージョン6.6.0から8.11.4より前、および9.0.0から9.7.0より前に影響します。この問題は、認証/認可によって保護されているSolrインスタンスには影響しません。

ユーザーには、Solrを実行する際に主に「認証」と「認可」の使用が推奨されています。ただし、この問題を解決するには、バージョン9.7.0または8.11.4へのアップグレードでも対応可能です。

クレジット：

Liu Huajin (報告者)

参考情報：

JIRA – SOLR-17418

CVE – CVE-2024-45217

原文：

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。

Tweet