INFORMATION
ニュース

セキュリティ警告:Recommendation to update Apache POI in Apache Solr 4.8.0, 4.8.1, and 4.9.0 installations

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、
本日Apache Solrコミュニティにてアナウンスされましたセキュリティ関連の
勧告についてお知らせいたします。


Apache Solr 4.8.0, 4.8.1, 4.9.0 にバンドルされる Apache POI 3.10-beta2 および
それ以前のバージョンには下記の脆弱性があります:

= CVE-2014-3529: XML External Entity (XXE) problem in Apache POI’s OpenXML parser =
種類: 情報開示
説明: Apache POI はマイクロオフィス製品によって生成されるOpenXMLのファイル
(DOCX, XLSX, PPTX,…)をパースするのにJavaのXMLコンポーネントを使っています。
そのようなファイルを利用者から受け付けるアプリケーションはXML External Entity
(XXE)についての脆弱性があります。XXE脆弱性は遠隔地のアタッカーがエンティティ
参照と協働してXML外部エンティティを用いた巧みに作成されたOpenXML文書を使って、
セキュリティ制限をバイパスし任意のファイルを読めてしまいます。

= CVE-2014-3574: XML Entity Expansion (XEE) problem in Apache POI’s OpenXML parser =
種類: サービス拒否
説明: Apache POI はマイクロオフィス製品によって生成されるOpenXMLのファイル
(DOCX, XLSX, PPTX,…)をパースするのにJavaのXMLコンポーネントとApache Xmlbeans
を使っています。そのようなファイルを利用者から受け付けるアプリケーションは
XML Entity Expansion (XEE)アタック(“XML bombs”)についての脆弱性があります。
XEE脆弱性は大量のCPU資源を遠隔地のハッカーが消費できてしまいます。

Apache POI プロジェクト管理委員会は本日、不具合を改修したバージョン3.10.1を
リリースしました。

“contrib/extraction”フォルダ配下の”Apache Solr Content Extraction Library
(Solr Cell)”モジュールを有効にしているSolr利用者はこれらの問題に該当します。

Apache Solr利用者でPOIの機能を使っていない場合は無効化することをお勧めします。
それができない場合、Apache Solr 4.8.0, 4.8.1, 4.9.0 の各利用者は問題のJAR
ファイルを置き換えることで問題を回避できます。それ以前のバージョンの利用者は
まずSolrをこれらのバージョンに上げたあと、次いでPOIの問題となるJARを
置き換える必要があります(POIだけ入れ替えても動作しません)。

問題のJARを入れ替える手順は以下の通りです:

– Apache POI 3.10.1 バイナリリリースを http://poi.apache.org/download.html#POI-3.10.1
からダウンロードします。
– アーカイブを解凍します。
– 以下のファイルを “solr-4.X.X/contrib/extraction/lib” フォルダから削除します。
# poi-3.10-beta2.jar
# poi-ooxml-3.10-beta2.jar
# poi-ooxml-schemas-3.10-beta2.jar
# poi-scratchpad-3.10-beta2.jar
# xmlbeans-2.3.0.jar
– 解凍した新しいアーカイブから下記のファイルを “solr-4.X.X/contrib/extraction/lib”
フォルダにコピーします。
# poi-3.10.1-20140818.jar
# poi-ooxml-3.10.1-20140818.jar
# poi-ooxml-schemas-3.10.1-20140818.jar
# poi-scratchpad-3.10.1-20140818.jar
– 同じくファイル “xmlbeans-2.6.0.jar” を POI の “ooxml-lib/” フォルダから見つけて
“solr-4.X.X/contrib/extraction/lib” にコピーします。
– “solr-4.X.X/contrib/extraction/lib” フォルダに “3.10-beta2” と名前のつく
ファイルがないことを確認します。
– 同じく同フォルダにバージョン2.6.0のxmlbeans JAR ファイルが存在することを
確認します。

もしマイクロソフトオフィス文書からのテキスト抽出をしたくない場合は上記フォルダ
からファイルの削除だけを行ってください(リプレースを行う必要はありません)。
Solr Cell は自動的にマイクロソフトオフィス文書からのテキスト抽出を行わなく
なります。

今後のApache Solr製品は本問題に対応したJARファイルをバンドルします。


サポートサービスご加入のお客様は、上記手順を参考にして必要な対応を
実施していただきますようお願いいたします。
サブスクリプションご加入のお客様は、本日リリースされましたRCSS 1.4.1
を必要に応じてご利用ください。RCSS 1.4.1は本問題に対応したバージョンと
なっております。

以上、今後ともよろしくお願い申し上げます。

KandaSearch

KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。

  • セマンティックサーチ

    人間が理解するように検索エンジンがテキストや画像を理解して検索できます。

  • クローラー

    検索対象文書を収集するWebクローラーが使えます。

  • 簡単操作のUIと豊富なライブラリー

    検索や辞書UIに加え、定義済み専門用語辞書/類義語辞書やプラグインがあります。

  • ローコードで低コスト導入

    検索UIで使い勝手を調整した後、Webアプリケーションを自動生成できます。

セミナー

企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!