RONDHUIT

お申し込み/お問い合わせ 無料セミナーのお申込み

INFORMATION
サブスクリプション

セキュリティ警告(続報):CVE-2017-12629: Several critical vulnerabilities discovered in Apache Solr (XXE & RCE)

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。



—–

○ CVE-2017-12629: Several critical vulnerabilities discovered in Apache Solr (XXE & RCE)

重要度:重要

ベンダー:The Apache Software Foundation

影響するバージョン:

  • Apache Solr 5.5.0 から 5.5.4(弊社サブスクリプション 2.1.0 から 2.2.0)
  • Apache Solr 6.0.0 から 6.6.1(弊社サブスクリプション 2.3.0 から 3.1.1)
  • Apache Solr 7.0.0 から 7.0.1(弊社サブスクリプションに該当はありません)

説明:

この脆弱性の詳細は、公開メーリングリストに報告されました。こちらをご参照ください。 https://s.apache.org/FJDl

最初の脆弱性は、デフォルトで有効になっている、XML Query ParserにおけるXML外部実体参照に関するものです。XML Query Parser は defType=xmlparserパラメータを通じて使用できます。この機能が /upload リクエストハンドラーにて悪意のあるデータをアップロードするのに使えてしまいます。さらに、FTP ラッパーを使って、この機能をブラインドXXEとして Solr サーバーから任意のローカルファイルを読むために利用できてしまいます。

二番目の脆弱性は、RunExecutableListener を使った遠隔コード実行に関するものです。

前述の報告時点で、稼働中の上記バージョンの Solr が影響を受けるゼロ・デイ脆弱性となりました。しかしながら、同日に Solr ユーザーを保護するための回避策をアナウンスしました。

アナウンスはこちらをご参照ください。
https://lucene.apache.org/solr/news.html#12-october-2017-please-secure-your-apache-solr-servers-since-a-zero-day-exploit-has-been-reported-on-a-public-mailing-list

参考:日本語訳
https://www.rondhuit.com/cve-2017-12629-please-secure-apache-solr-servers-since-zero-day-exploit-reported-public-mailing-l.html

回避策:

  • ユーザーは Solr 6.6.2 または Solr 7.1.0 にアップグレードすることをお勧めします。 アップグレードをすることにより、それ以上の対策は不要です。
  • Solr 6.6.2 または Solr 7.1.0 にアップグレードすることができないユーザーには、システムパラメーター `-Ddisable.configEdit=true` を付与して Solr を再起動することをお勧めします。これはコンフィグ API を経由して設定情報を変更するのを許可しないようにする設定です。これは本件脆弱性について、重要なファクターになります。 なぜなら、GET リクエストで RunExecutableListener を設定に追加できてしまうためです。さらに、XXE 脆弱性を回避するために、XML Query Parser を他のパーサーに再マップすることをお勧めします。たとえば、xmlparser を edismax パーサーに再マップする以下の設定を solrconfig.xml に記述します:
    queryParser name=”xmlparser” class=”solr.ExtendedDismaxQParserPlugin”/

クレジット:

Michael Stepankin (JPMorgan Chase)
Olga Barinova (Gotham Digital Science)

参考情報:
https://issues.apache.org/jira/browse/SOLR-11482
https://issues.apache.org/jira/browse/SOLR-11477
https://wiki.apache.org/solr/SolrSecurity

Lucene PMC より。

—–

サポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。サブスクリプションについては、Solr 6.6.2 を含み、必要な対策を施したサブスクリプションのリリースを計画中であり、リリース次第、お知らせいたします。

サポート又はサブスクリプションご契約中のお客様は、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。

このエントリーをはてなブックマークに追加

KandaSearch

KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。

  • セマンティックサーチ

    人間が理解するように検索エンジンがテキストや画像を理解して検索できます。

  • クローラー

    検索対象文書を収集するWebクローラーが使えます。

  • 簡単操作のUIと豊富なライブラリー

    検索や辞書UIに加え、定義済み専門用語辞書/類義語辞書やプラグインがあります。

  • ローコードで低コスト導入

    検索UIで使い勝手を調整した後、Webアプリケーションを自動生成できます。

セミナー

企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!