お問い合わせ採用情報お客様ログイン

RONDHUIT

ニュースINFORMATION

ホーム > ニュース > セキュリティ警告:Recommendation to update Apache POI in Apache Solr 4.8.0, 4.8.1, and 4.9.0 installations

セキュリティ警告:Recommendation to update Apache POI in Apache Solr 4.8.0, 4.8.1, and 4.9.0 installations

2014.08.19
お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、
本日Apache Solrコミュニティにてアナウンスされましたセキュリティ関連の
勧告についてお知らせいたします。


Apache Solr 4.8.0, 4.8.1, 4.9.0 にバンドルされる Apache POI 3.10-beta2 および
それ以前のバージョンには下記の脆弱性があります:

= CVE-2014-3529: XML External Entity (XXE) problem in Apache POI’s OpenXML parser =
種類: 情報開示
説明: Apache POI はマイクロオフィス製品によって生成されるOpenXMLのファイル
(DOCX, XLSX, PPTX,…)をパースするのにJavaのXMLコンポーネントを使っています。
そのようなファイルを利用者から受け付けるアプリケーションはXML External Entity
(XXE)についての脆弱性があります。XXE脆弱性は遠隔地のアタッカーがエンティティ
参照と協働してXML外部エンティティを用いた巧みに作成されたOpenXML文書を使って、
セキュリティ制限をバイパスし任意のファイルを読めてしまいます。

= CVE-2014-3574: XML Entity Expansion (XEE) problem in Apache POI’s OpenXML parser =
種類: サービス拒否
説明: Apache POI はマイクロオフィス製品によって生成されるOpenXMLのファイル
(DOCX, XLSX, PPTX,…)をパースするのにJavaのXMLコンポーネントとApache Xmlbeans
を使っています。そのようなファイルを利用者から受け付けるアプリケーションは
XML Entity Expansion (XEE)アタック(“XML bombs”)についての脆弱性があります。
XEE脆弱性は大量のCPU資源を遠隔地のハッカーが消費できてしまいます。

Apache POI プロジェクト管理委員会は本日、不具合を改修したバージョン3.10.1を
リリースしました。

“contrib/extraction”フォルダ配下の”Apache Solr Content Extraction Library
(Solr Cell)”モジュールを有効にしているSolr利用者はこれらの問題に該当します。

Apache Solr利用者でPOIの機能を使っていない場合は無効化することをお勧めします。
それができない場合、Apache Solr 4.8.0, 4.8.1, 4.9.0 の各利用者は問題のJAR
ファイルを置き換えることで問題を回避できます。それ以前のバージョンの利用者は
まずSolrをこれらのバージョンに上げたあと、次いでPOIの問題となるJARを
置き換える必要があります(POIだけ入れ替えても動作しません)。

問題のJARを入れ替える手順は以下の通りです:

– Apache POI 3.10.1 バイナリリリースを http://poi.apache.org/download.html#POI-3.10.1
からダウンロードします。
– アーカイブを解凍します。
– 以下のファイルを “solr-4.X.X/contrib/extraction/lib” フォルダから削除します。
# poi-3.10-beta2.jar
# poi-ooxml-3.10-beta2.jar
# poi-ooxml-schemas-3.10-beta2.jar
# poi-scratchpad-3.10-beta2.jar
# xmlbeans-2.3.0.jar
– 解凍した新しいアーカイブから下記のファイルを “solr-4.X.X/contrib/extraction/lib”
フォルダにコピーします。
# poi-3.10.1-20140818.jar
# poi-ooxml-3.10.1-20140818.jar
# poi-ooxml-schemas-3.10.1-20140818.jar
# poi-scratchpad-3.10.1-20140818.jar
– 同じくファイル “xmlbeans-2.6.0.jar” を POI の “ooxml-lib/” フォルダから見つけて
“solr-4.X.X/contrib/extraction/lib” にコピーします。
– “solr-4.X.X/contrib/extraction/lib” フォルダに “3.10-beta2” と名前のつく
ファイルがないことを確認します。
– 同じく同フォルダにバージョン2.6.0のxmlbeans JAR ファイルが存在することを
確認します。

もしマイクロソフトオフィス文書からのテキスト抽出をしたくない場合は上記フォルダ
からファイルの削除だけを行ってください(リプレースを行う必要はありません)。
Solr Cell は自動的にマイクロソフトオフィス文書からのテキスト抽出を行わなく
なります。

今後のApache Solr製品は本問題に対応したJARファイルをバンドルします。


サポートサービスご加入のお客様は、上記手順を参考にして必要な対応を
実施していただきますようお願いいたします。
サブスクリプションご加入のお客様は、本日リリースされましたRCSS 1.4.1
を必要に応じてご利用ください。RCSS 1.4.1は本問題に対応したバージョンと
なっております。

以上、今後ともよろしくお願い申し上げます。

▲ ページの先頭に戻る

ピックアップ

お問い合わせ

 

PAGE TOP
HOME
Apache Solr, Lucene, Hadoop, Mahout, Spark, ManifoldCF, UIMA and their logos are trademarks of the Apache Software Foundation.
Copyright © 2006-2017 RONDHUIT Co, Ltd. All Rights Reserved.