お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2018-1308: XXE attack through Apache Solr’s DIH’s dataConfig request parameter

重要度：重要

ベンダー：The Apache Software Foundation

影響するバージョン：

• Apache Solr 1.2 から 6.6.2（弊社サブスクリプション 0.8.5 から 3.1.2）
• Apache Solr 7.0.0 から 7.2.1（弊社サブスクリプション 3.2.0）

説明：

この脆弱性についてのレポートは Apache セキュリティのメーリングリストに報告されました。

この脆弱性は Solr の DataImportHandler のパラメータ `&dataConfig=<inlinexml>` 内に おける外部実体参照（XXE）に関するものです。Solr サーバーまたは内部ネットワークから 任意のローカルファイルを読み込むために、file/ftp/http プロトコルを使って XXE として 使えてしまいます。詳しくは [1] をご覧ください。

回避策：

この問題に対応した Solr 6.6.3 または Solr 7.3.0 にアップグレードすることをおすすめします。 アップグレードをすれば、それ以上の操作は不要です。これらのバージョンは、このリクエスト パラメータ経由で送られた匿名のXMLファイル外部実体参照機能を停止します。

もしアップグレードが不可能な場合は、solrconfig.xml にて DIH が使えないように設定して Solr を再起動することをおすすめします。もしくは、Solr インスタンスがローカルネットワーク のみにあり、外部のネットワークにアクセスしない場合、本件脆弱性は直接に攻撃されないので、 アップグレードの必要はありません。その代わり、リバースプロキシまたは Solr クライアント アプリケーションが、エンドユーザーから`dataConfig`リクエストパラメータが注入されないよう にしてください。Solr サーバーをセキュアに保つには、[2] をご覧ください。

参考情報：
[1]https://issues.apache.org/jira/browse/SOLR-11971
[2]https://wiki.apache.org/solr/SolrSecurity

クレジット：
麦　香浓郁

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。なお、本件の問題に対応した サブスクリプションのリリース予定はございません。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで 本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。

Tweet