お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundation より当社のプラグインに含まれます Tomcat について、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象のTomcatリリース：

• Apache Tomcat 8.0.0-RC1 to 8.0.5
• Apache Tomcat 7.0.0 to 7.0.53
• Apache Tomcat 6.0.0 to 6.0.39

対象 Solr プラグインリリース：

• rel-1.x （Tomcat 7）
• rel-0.x （Tomcat 6）

○ CVE-2014-0119 Information Disclosure
重要度：重要

ある制限された状況下では、デフォルトのサーブレット、JSPドキュメント、
タグライブラリデスクリプタ（TLD）およびタグプラグイン構成ファイルのための
XSLT処理を行うTomcatにより利用されるXMLパーサを、
悪意のあるWebアプリケーションは置き換えてしまうことが可能です。
注入されたXMLパーサはXML外部エンティティに
対して制限をバイパスできてしまい、これにより同一Tomcatインスタンス上に
デプロイされた他のWebアプリケーションのために処理されているXMLファイルが
表示できてしまいます。

回避策：
下記の回避策をお取りください：
– Apache Tomcat 8.0.8 以降にアップグレードする
（8.0.6/8.0.7は改修されていますがリリースされていません）
– Apache Tomcat 7.0.54 以降にアップグレードする
– Apache Tomcat 6.0.41 以降にアップグレードする
（6.0.40は改修されていますがリリースされていません）

クレジット：
本問題はTomcatセキュリティチームにより確認されました。

参考情報：
[1] http://tomcat.apache.org/security-8.html
[2] http://tomcat.apache.org/security-7.html
[3] http://tomcat.apache.org/security-6.html

当社の今後の対応について：
次回リリース時に Tomcat 7.0.54 を同梱いたします。
それまではお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。

以上、今後ともよろしくお願い申し上げます。