INFORMATION
ニュース
[Solrプラグイン] セキュリティ警告:CVE-2011-3190 Apache Tomcat Authentication bypass and information disclosure
お客様各位
平素はお引き立てを賜り、ありがとうございます。
Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象Solrプラグインリリース:
○ CVE-2011-3190 Apache Tomcat Authentication bypass and information disclosure
重要度:高
Apache Tomcatはリクエストやリクエストに関連するデータをリバースプロキシからTomcatに送信するために、リバースプロキシとともに使用されるAJPプロトコルをサポートしています。AJPプロトコルは、リクエストがリクエストボディを含んでいるとき、そのリクエストボディの冒頭(またはすべて)を含んでいる要求されていないAJPメッセージをTomcatに送信できるように設計されています。ある特定の状況では、Tomcatはこのメッセージをリクエストボディではなく新しいリクエストとして処理してしまいます。これにより、アタッカーに対しAJPメッセージを使ってフル・コントロールを許してしまい、とりわけ以下のようなことがアタッカーはできてしまいます:
下記AJPコネクター実装は影響を受けません:
下記AJPコネクター実装は影響を受けます:
なお、本件は少なくともひとつのリソースに対し、下記のすべてが真のときにのみ当てはまります:
例:
以下を参照のこと。
https://issues.apache.org/bugzilla/show_bug.cgi?id=51698
回避策:
ユーザは以下のどれかの緩和策を採用してください:
本件はApache Tomcatの公開バグ管理システムを通じてレポートされました。Apache Tomcatセキュリティチームは未公開の脆弱性が、公開チャネルを通じて報告されたことに対して大変遺憾に思います。すべてのApache Tomcat関連セキュリティ脆弱性は、セキュリティチームへのプライベートなメーリングリストである security at tomcat dot apache dot org を通じて行うよう、お願いいたします。
参考情報:
当社の今後の対応について:
今後の新規プラグインをリリースするときに本件の改修が含まれたバージョンがリリースされていればそれを同梱することといたします。
以上、今後ともよろしくお願い申し上げます。
平素はお引き立てを賜り、ありがとうございます。
Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象Solrプラグインリリース:
- rel-0.5.3 (Tomcat 6.0.32)
- rel-0.6.3 (Tomcat 6.0.32)
- rel-0.7.2 (Tomcat 6.0.32)
- rel-0.8.2 (Tomcat 6.0.33)
○ CVE-2011-3190 Apache Tomcat Authentication bypass and information disclosure
重要度:高
Apache Tomcatはリクエストやリクエストに関連するデータをリバースプロキシからTomcatに送信するために、リバースプロキシとともに使用されるAJPプロトコルをサポートしています。AJPプロトコルは、リクエストがリクエストボディを含んでいるとき、そのリクエストボディの冒頭(またはすべて)を含んでいる要求されていないAJPメッセージをTomcatに送信できるように設計されています。ある特定の状況では、Tomcatはこのメッセージをリクエストボディではなく新しいリクエストとして処理してしまいます。これにより、アタッカーに対しAJPメッセージを使ってフル・コントロールを許してしまい、とりわけ以下のようなことがアタッカーはできてしまいます:
- 認証されたユーザ名を挿入する
- 任意のクライアントIPアドレスを挿入する(クライアントIPアドレスによるフィルタリングが突破されてしまう)
- ユーザ間の応答が混合する引き金となる
下記AJPコネクター実装は影響を受けません:
- org.apache.jk.server.JkCoyoteHandler (5.5.x – default, 6.0.x – default)
下記AJPコネクター実装は影響を受けます:
- org.apache.coyote.ajp.AjpProtocol (6.0.x, 7.0.x – default)
- org.apache.coyote.ajp.AjpNioProtocol (7.0.x)
- org.apache.coyote.ajp.AjpAprProtocol (5.5.x, 6.0.x, 7.0.x)
なお、本件は少なくともひとつのリソースに対し、下記のすべてが真のときにのみ当てはまります:
- POSTリクエストが許可されている
- リクエストボディが処理されない
例:
以下を参照のこと。
https://issues.apache.org/bugzilla/show_bug.cgi?id=51698
回避策:
ユーザは以下のどれかの緩和策を採用してください:
- 修正が含まれたTomcatがリリースされたらそのバージョンに上げる。
- 以下のパッチを適用する:
- リバースプロキシとTomcatのAJPコネクタをrequiredSecret属性を使うように構成する
- org.apache.jk.server.JkCoyoteHandler AJPコネクタを使う(ただしTomcat 7.0.xでは利用不可)
本件はApache Tomcatの公開バグ管理システムを通じてレポートされました。Apache Tomcatセキュリティチームは未公開の脆弱性が、公開チャネルを通じて報告されたことに対して大変遺憾に思います。すべてのApache Tomcat関連セキュリティ脆弱性は、セキュリティチームへのプライベートなメーリングリストである security at tomcat dot apache dot org を通じて行うよう、お願いいたします。
参考情報:
- http://tomcat.apache.org/security.html
- http://tomcat.apache.org/security-7.html
- http://tomcat.apache.org/security-6.html
- http://tomcat.apache.org/security-5.html
- https://issues.apache.org/bugzilla/show_bug.cgi?id=51698
当社の今後の対応について:
今後の新規プラグインをリリースするときに本件の改修が含まれたバージョンがリリースされていればそれを同梱することといたします。
以上、今後ともよろしくお願い申し上げます。
INFORMATION
KandaSearch
KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。
セミナー
企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!