お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース：

• rel-0.5.3 (Tomcat 6.0.32)
• rel-0.6.3 (Tomcat 6.0.32)
• rel-0.7.2 (Tomcat 6.0.32)
• rel-0.8.1 (Tomcat 6.0.32)

○ CVE-2011-2729: Commons Daemon fails to drop capabilities (Apache Tomcat)
重要度：高

機能コード中のバグにより、jsvc（Commons DaemonプロジェクトのLinux用のサービスラッパー）はスーパーユーザーにより所有されているファイルやディレクトリへのアクセス許可をアプリケーションからドロップしない。この脆弱性は以下の場合のみ適用される：

1. TomcatがLinuxシステムで実行中のとき
2. jsvcがlibcapと一緒にコンパイルされている
3. -userパラメータが使われている

jsvcのソースが含まれる以下のバージョンのTomcatはこの脆弱性を含んでいる：

• Tomcat 7.0.0 to 7.0.19
• Tomcat 6.0.30 to 6.0.32
• Tomcat 5.5.32 to 5.5.33

回避策：
以下の回避策を採ることにより、この脆弱性を軽減することができます：

1. jsvcを1.0.7以降にアップグレードする
2. -userパラメータを使わない
3. libcapなしでjsvcを再コンパイルする

アップデートされたjsvcはApache Tomcat 7.0.20に含まれています。また、Tomcat 6.0.xおよび5.5.xの次のリリースにも含まれています。また、アップデートされたソースはApache CommonsDaemonプロジェクトから入手可能です。

クレジット：
この問題は、Wilfried Weissmann氏によって発見されました。

当社の今後の対応について：
今回発表されたセキュリティ警告についてはTomcat 6.0.33にて改修されます。それ以前のバージョンでは対応が簡単な回避策が存在するため、今後の新規プラグインをリリースするときに6.0.33以降がリリースされていればそれらを同梱することといたします。

以上、今後ともよろしくお願い申し上げます。