RONDHUIT

お申し込み/お問い合わせ 無料セミナーのお申込み

INFORMATION
サービス

セキュリティ警告:Recommendation to update Commons Collections in Apache ManifoldCF 1.x and 2.x installations

お客様各位

平素はお引き立てを賜り、ありがとうございます。
弊社 Apache ManifoldCF のサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

Apache ManifoldCF 1.x, 2.x にバンドルされる Apache Commons Collections 3.2.1 には下記に該当する脆弱性があります:

= CWE-502: Deserialization of Untrusted Data =

デシリアライズ時に、信頼できないデータをデシリアライズし、任意のコードを実行される脆弱性があります。


既存の ManifoldCF(1.x,2.x) にパッチを適用する場合は、以下の手順で該当の JAR ファイルを入れ替えてください。


1) JAR ファイルの入手
http://commons.apache.org/proper/commons-collections/download_collections.cgi より commons-collections-3.2.2.jar を入手します。

2) JAR ファイルの置き換え 

$ cp commons-collections-3.2.2.jar {MCFインストールディレクトリ}/lib
$ rm {MCFインストールディレクトリ}/lib/commons-collections-3.2.1.jar

3) env ファイルの書き換え
※ Windows環境であれば、拡張子が win であるもの、Unix,Linux環境では unix であるものを書き換えれば問題ありません。

{MCFインストールディレクトリ}/lib/start-options.env.xxx
...;..\lib\commons-collections-3.2.1.jar;... → ...;..\lib\commons-collections-3.2.2.jar;...

{MCFインストールディレクトリ}/lib/combined-options.env.xxx
...;..\lib\commons-collections-3.2.1.jar;... → ...;..\lib\commons-collections-3.2.2.jar;...

{MCFインストールディレクトリ}/script-engine/options.env.xxx
...;..\lib\commons-collections-3.2.1.jar;... → ...;..\lib\commons-collections-3.2.2.jar;...



上記手順後、ManifoldCF を再起動してください。

尚、弊社にて、以下のリポジトリに対して正しく動作することを確認しております。

  • FileSystem
  • Web
  • SharePoint
  • Windows Shares

    • これら以外のリポジトリをお使いのお客様は弊社までお問い合わせ下さい。

    以上、今後ともよろしくお願い申し上げます。

    このエントリーをはてなブックマークに追加

    KandaSearch

    KandaSearch はクラウド型企業向け検索エンジンサービスです。
    オープンAPIでカスタマイズが自由にできます。

    • セマンティックサーチ

      人間が理解するように検索エンジンがテキストや画像を理解して検索できます。

    • クローラー

      検索対象文書を収集するWebクローラーが使えます。

    • 簡単操作のUIと豊富なライブラリー

      検索や辞書UIに加え、定義済み専門用語辞書/類義語辞書やプラグインがあります。

    • ローコードで低コスト導入

      検索UIで使い勝手を調整した後、Webアプリケーションを自動生成できます。

    セミナー

    企業が検索エンジンを選定する際のポイントから、
    実際の導入デモをお客様ご自身でご体験!