お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

—–

○ CVE-2021-29262: Apache Solr: Misapplied Zookeeper ACLs can result in leakage of configured authentication and authorization settings

説明：

Apache Solr 8.8.1以前ではSolrを起動したときSaslZkACLProviderまたはVMParamsAllAndReadonlyDigestZkACLProviderを設定しsecurity.json znodeが存在しないとき、もし任意のリードオンリーユーザーが設定されていると、Solrは当該ノードを重要なパスとみなさなくなり、そのためそれを読み込み可能にしていました。
さらに、ZkACLProviderがある環境で、security.jsonがすでにある場合、SolrはACLを自動アップデートしません。

クレジット：

この問題は、 Timothy Potter, Mike Drob および Apple Cloud Services によって報告または解決されました。

参考情報：

[1]https://issues.apache.org/jira/browse/SOLR-15249

—–

サブスクリプションおよびサポートサービスご加入のお客様は、上記を参考にして必要な対応を実施していただきますようお願いいたします。

また、サポート、サブスクリプション契約中のお客様には、インシデント消化なしで本件のお問い合わせに対応いたします。

以上、今後ともよろしくお願い申し上げます。

Tweet