INFORMATION
ニュース
[Solrプラグイン] セキュリティ警告:CVE-2013-2071 Request mix-up if AsyncListener method throws RuntimeException
お客様各位
平素はお引き立てを賜り、ありがとうございます。
Apache Foundationより当社のプラグインに含まれますTomcatについて、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象Solrプラグインリリース:
バグ 54178 では前回のリクエストの要素が今回のリクエストにエクスポーズされる
可能性のシナリオを説明しています。これは非常に起こりにくいことではありますが、
RuntimeExceptionをスローするAsyncListenersを使ったアプリケーションがあると
起こる可能性を否定できません。これを防ぐために、RuntimeExceptionをキャッチ
するようにしました。
回避策:
下記の回避策をお取りください:
– Tomcat 7.0.x ユーザーは 7.0.40 以降にアップグレードする
クレジット:
本問題は Tomcat セキュリティチームによって発見されました。
参考情報:
http://tomcat.apache.org/security.html
http://tomcat.apache.org/security-7.html
https://issues.apache.org/bugzilla/show_bug.cgi?id=54178
当社の今後の対応について:
次回リリース時に Tomcat 7.0.40 を同梱いたします。
それまではお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。
以上、今後ともよろしくお願い申し上げます。
平素はお引き立てを賜り、ありがとうございます。
Apache Foundationより当社のプラグインに含まれますTomcatについて、
セキュリティ警告のアナウンスが発表されましたので、お知らせします。
対象Solrプラグインリリース:
- rel-1.1.0 (Tomcat 7.0.39)
- rel-1.0.2 (Tomcat 7.0.39)
バグ 54178 では前回のリクエストの要素が今回のリクエストにエクスポーズされる
可能性のシナリオを説明しています。これは非常に起こりにくいことではありますが、
RuntimeExceptionをスローするAsyncListenersを使ったアプリケーションがあると
起こる可能性を否定できません。これを防ぐために、RuntimeExceptionをキャッチ
するようにしました。
回避策:
下記の回避策をお取りください:
– Tomcat 7.0.x ユーザーは 7.0.40 以降にアップグレードする
クレジット:
本問題は Tomcat セキュリティチームによって発見されました。
参考情報:
http://tomcat.apache.org/security.html
http://tomcat.apache.org/security-7.html
https://issues.apache.org/bugzilla/show_bug.cgi?id=54178
当社の今後の対応について:
次回リリース時に Tomcat 7.0.40 を同梱いたします。
それまではお客様におかれましては、本問題についてご判断いただき、
必要であればTomcatの適切なバージョンに置き換えていただく等の対応を
お願いいたします。
以上、今後ともよろしくお願い申し上げます。
INFORMATION
KandaSearch
KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。
セミナー
企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!