お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2021-27905: Apache Solr: SSRF vulnerability with the Replication handler

説明：

ReplicationHandler（通常/replicationという名で登録されています）はmasterUrl（別名leaderUrl）というパラメータを持っています。そのパラメータはレプリケーション元のReplicationHandlerとなっています。SSRF脆弱性への対応のために、Solrはshardsパラメータと同様の対処をするべきでした。以前この対処はなされていましたが、そうではなくなりました。
Apache Solr 8.8.1以前で発生します。

クレジット：

この問題は、 QI-ANXIN Cert (QI-ANXIN Technology Group Inc.) の Caolinhong(Skay) によって報告されました。

参考情報：

[1]https://issues.apache.org/jira/browse/SOLR-15217

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。

Tweet