お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2018-11802: Apache Solr authorization bug disclosure

重要度：重要

ベンダー：The Apache Software Foundation

影響するバージョン：

• Apache Solr 6.0.0 から 6.6.5（弊社サブスクリプション 2.3.0 から 3.1.3）
　　　　
• Apache Solr 7.0.0 から 7.6（弊社サブスクリプション 3.2.0 から 4.0.1）

説明：

Apache Solr のクラスターは複数のコレクションに分割でき、ノードの一部だけが与えられたコレクションを実際にホストします。しかし、ノードがホストしていないコレクションのためのリクエストを受信すと、ホストしているノードを代理して当該リクエストをサービスします。この場合、Solr はすべての権限設定をバイパスしてしまいます。これは上記バージョンの Solr にて、デフォルトの権限メカニズム（RuleBasedAuthorizationPlugin）を使用している場合に影響します。

回避策：

もし Solr の権限メカニズムを使用している場合は、この問題に対応した Solr 6.6.6または Solr 7.7 にアップグレードすることをおすすめします。

クレジット：

この問題は、Mahesh Kumar Vasanthu Somashekar によって発見されました。

参考情報：

[1]https://issues.apache.org/jira/browse/SOLR-12514
[2]https://wiki.apache.org/solr/SolrSecurity

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応したサブスクリプションのリリース予定はございません。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。

Tweet