RONDHUIT

お申し込み/お問い合わせ 無料セミナーのお申込み

INFORMATION
サブスクリプション

セキュリティ警告:Recommendation to update Commons Collections in Apache Solr 4.x and 5.x installations

お客様各位

平素はお引き立てを賜り、ありがとうございます。
弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、セキュリティ関連の勧告についてお知らせいたします。

Apache Solr 4.x, 5.x にバンドルされる Apache Commons Collections 3.2.1 には下記に該当する脆弱性があります:

= CWE-502: Deserialization of Untrusted Data =

デシリアライズ時に、信頼できないデータをデシリアライズし、任意のコードを実行される脆弱性があります。

脆弱性に対応した Commons Collections 3.2.2 がリリースされており、Solr の次バージョン 5.4 では Commons Collections 3.2.2 がバンドルされるようになります。([SOLR-8269])

バージョン 5.4 がリリースされましたら、速やかにアップデートすることを推奨致します。
既存の Solr にパッチを適用する場合は、以下の手順で該当の JAR ファイルを入れ替えてください。

RCSS 1.x (Solr 4.x) の場合:

http://commons.apache.org/proper/commons-collections/download_collections.cgi より commons-collections-3.2.2.jar を入手します。 

$ cd $SOLR_INSTALL_DIR
# commons-collections.3.2.1.jar を commons-collections-3.2.2.jar に置き換える
$ find . -name commons-collections-3.2.1.jar
$ cp commons-collections-3.2.2/commons-collections-3.2.2.jar \
  ./solr/contrib/morphlines-core/test-lib
$ cp commons-collections-3.2.2/commons-collections-3.2.2.jar \ 
  ./solr/contrib/velocity/lib
$ cp commons-collections-3.2.2/commons-collections-3.2.2.jar \ 
  ./solr/core/test-lib
$ rm ./solr/contrib/morphlines-core/test-lib/commons-collections-3.2.1.jar
$ rm ./solr/contrib/velocity/lib/commons-collections-3.2.1.jar
$ rm ./solr/core/test-lib/commons-collections-3.2.1.jar

# すべて 3.2.2 に置き換わっていることの確認
$ find . -name commons-collections-3.2.1.jar 
$ find . -name commons-collections-3.2.2.jar


JAR を置き換え後、RCSS(Solr) を再起動してください。

RCSS 2.0 (Solr 5.x) の場合:

以下の jar について、RCSS 1.x (Solr 4.x) 同様に置き換えてください。

  • $SOLR_INSTALL_DIR/solr/contrib/morphlines-core/test-lib/commons-collections-3.2.1.jar
  • $SOLR_INSTALL_DIR/solr/contrib/velocity/lib/commons-collections-3.2.1.jar
  • $SOLR_INSTALL_DIR/solr/core/lib/commons-collections-3.2.1.jar
  • $SOLR_INSTALL_DIR/solr/core/test-lib/commons-collections-3.2.1.jar
  • $SOLR_INSTALL_DIR/solr/server/solr-webapp/webapp/WEB-INF/lib/commons-collections-3.2.1.jar

サポートサービスご加入のお客様は、上記手順を参考にして必要な対応を実施していただきますようお願いいたします。
また、問題に対応済みの RCSS 1.5.1 および RCSS 2.0.1 のリリースを近日中に予定しております。 サブスクリプションご加入のお客様は、別途アナウンス差し上げますので、必要に応じてご利用ください。

以上、今後ともよろしくお願い申し上げます。

このエントリーをはてなブックマークに追加

KandaSearch

KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。

  • セマンティックサーチ

    人間が理解するように検索エンジンがテキストや画像を理解して検索できます。

  • クローラー

    検索対象文書を収集するWebクローラーが使えます。

  • 簡単操作のUIと豊富なライブラリー

    検索や辞書UIに加え、定義済み専門用語辞書/類義語辞書やプラグインがあります。

  • ローコードで低コスト導入

    検索UIで使い勝手を調整した後、Webアプリケーションを自動生成できます。

セミナー

企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!