INFORMATION
ニュース

[Solrプラグイン] セキュリティ警告:Apache Tomcat and the hashtable collision DoS vulnerability

お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース:
すべて

内容:
最近発表されたJavaのハッシュテーブルの実装を要因とする脆弱性の記事[1]をすでにご覧になっているかもしれません。Apache TomcatはHTTPリクエストパラメータを保持するためにハッシュテーブルを使用しているため、この脆弱性に該当いたします。

記事[1]によれば、オラクル社はこの脆弱性の対応をJREで行わないとのことです。

Tomcatはこの問題に対する回避策を、単一リクエストにおける処理可能なパラメータ数の上限を設定するために用意された新しいパラメータ(maxParameterCount)をすでに提供しています。このデフォルト値は10000です。この数値はどんなアプリケーションにおいても十分大きく、また、DoS攻撃への効果を軽減するのにも十分小さい値といえます。

本回避策は以下のバージョンで利用可能です:

  • trunk
  • 7.0.23 以前
  • 6.0.35 以前


また、5.5系は5.5.35がリリースされたら、こちらでも利用可能です。

maxParameterCountパラメータを持たない以前のApache Tomcatを利用している場合は、maxPostSizeパラメータを数十kBに限定することでこの問題を軽減することができるでしょう。

本件はApache Tomcatの脆弱性としては表出しませんが、アプリケーションがこの問題で影響を受ける可能性があるため、ユーザに回避策をお知らせするため、Apache Tomcatセキュリティチームは今回アナウンスを行いました。

Apache Tomcatセキュリティチーム

[1] http://www.nruns.com/_downloads/advisory28122011.pdf

以上、今後ともよろしくお願い申し上げます。

KandaSearch

KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。

  • セマンティックサーチ

    人間が理解するように検索エンジンがテキストや画像を理解して検索できます。

  • クローラー

    検索対象文書を収集するWebクローラーが使えます。

  • 簡単操作のUIと豊富なライブラリー

    検索や辞書UIに加え、定義済み専門用語辞書/類義語辞書やプラグインがあります。

  • ローコードで低コスト導入

    検索UIで使い勝手を調整した後、Webアプリケーションを自動生成できます。

セミナー

企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!