INFORMATION
ニュース
[Solrプラグイン] セキュリティ警告:CVE-2014-0097 Apache Tomcat information disclosure
お客様各位
平素はお引き立てを賜り、ありがとうございます。
Apache Foundation より当社のプラグインに含まれます Tomcat について、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象のTomcatリリース:
対象 Solr プラグインリリース:
○ CVE-2014-0097 Information Disclosure
重要度:重要
リクエストのコンテンツレングスヘッダーをパースするコードは結果中の
オーバーフローをチェックしません。これによりTomcatがコンテンツレングス
ヘッダーを正しく処理するリバースプロキシーの背後に配置されたとき、
リクエスト密輸の脆弱性を露出してしまいます。
回避策:
下記の回避策をお取りください:
– Apache Tomcat 8.0.5 以降にアップグレードする
(8.0.4は改修されていますがリリースされていません)
– Apache Tomcat 7.0.53 以降にアップグレードする
– Apache Tomcat 6.0.41 以降にアップグレードする
(6.0.40は改修されていますがリリースされていません)
クレジット:
不具合分析を示すテストケースがTomcatセキュリティチームに送られましたが、
コンテキストは含まれていませんでした。セキュリティへの影響はTomcat
セキュリティチームにより確認されました。
参考情報:
[1] http://tomcat.apache.org/security-8.html
[2] http://tomcat.apache.org/security-7.html
[3] http://tomcat.apache.org/security-6.html
当社の今後の対応について:
次回リリース時に Tomcat 7.0.53 を同梱いたします。
それまではお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。
以上、今後ともよろしくお願い申し上げます。
平素はお引き立てを賜り、ありがとうございます。
Apache Foundation より当社のプラグインに含まれます Tomcat について、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象のTomcatリリース:
- Apache Tomcat 8.0.0-RC1 to 8.0.3
- Apache Tomcat 7.0.0 to 7.0.52
- Apache Tomcat 6.0.0 to 6.0.39
対象 Solr プラグインリリース:
- rel-1.x (Tomcat 7)
- rel-0.x (Tomcat 6)
○ CVE-2014-0097 Information Disclosure
重要度:重要
リクエストのコンテンツレングスヘッダーをパースするコードは結果中の
オーバーフローをチェックしません。これによりTomcatがコンテンツレングス
ヘッダーを正しく処理するリバースプロキシーの背後に配置されたとき、
リクエスト密輸の脆弱性を露出してしまいます。
回避策:
下記の回避策をお取りください:
– Apache Tomcat 8.0.5 以降にアップグレードする
(8.0.4は改修されていますがリリースされていません)
– Apache Tomcat 7.0.53 以降にアップグレードする
– Apache Tomcat 6.0.41 以降にアップグレードする
(6.0.40は改修されていますがリリースされていません)
クレジット:
不具合分析を示すテストケースがTomcatセキュリティチームに送られましたが、
コンテキストは含まれていませんでした。セキュリティへの影響はTomcat
セキュリティチームにより確認されました。
参考情報:
[1] http://tomcat.apache.org/security-8.html
[2] http://tomcat.apache.org/security-7.html
[3] http://tomcat.apache.org/security-6.html
当社の今後の対応について:
次回リリース時に Tomcat 7.0.53 を同梱いたします。
それまではお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。
以上、今後ともよろしくお願い申し上げます。
INFORMATION
KandaSearch
KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。
セミナー
企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!