INFORMATION
サブスクリプション

セキュリティ警告:CVE-2017-5644 – Possible DOS (Denial of Service) in Apache POI versions prior to 3.15

お客様各位

平素はお引き立てを賜り、ありがとうございます。

弊社サブスクリプションご加入のお客様およびサポートサービスご加入のお客様に、3/20 に Apache POI コミュニティにてアナウンスされましたセキュリティ関連の勧告についてお知らせいたします。

■ 対象のApache Solrのバージョン
全て

■ 脆弱性の内容

以下、 Apache POI コミュニティからの勧告(翻訳)

= CVE-2017-5644 – Possible DOS (Denial of Service) in Apache POI versions prior to 3.15  =
対象リリースバージョン: 3.15より前の全てのバージョン
種類: サービス拒否
説明:
3.15 より前のバージョンの Apache POI は遠隔地の攻撃者により細工された OOXML ファイルでXML Entity Expantion(XEE) が引き起こされることによる DoS 攻撃で大量のCPUリソースが消費される可能性があります。
Apache POI を利用しており、外部や信頼できないソースからドキュメントを受け取っているシステムをお持ちの場合には、Apache POI 3.15 以降のバージョンへのアップグレードを推奨します。


■ Apache Solr 利用者への影響
“contrib/extraction”フォルダ配下の”Apache Solr Content Extraction Library(Solr Cell)”モジュールを有効にしているSolr利用者はこれらの問題に該当します。

Apache Solr利用者でPOIの機能を使っていない場合は無効化することをお勧めします。
また、ご利用されている場合には、OOXMLデータ(docx, xlsx, pptxなど)の取り込み元の見直しをご検討ください。

なお、Apache Solr コミュニティにおいては、以下のチケットで上述の問題の発生しないApache POI 3.15 への更新作業を進めており、弊社社員もこのチケットへの作業を開始しております。
https://issues.apache.org/jira/browse/SOLR-9552

より詳しい状況がわかり次第、必要に応じて本件に対応したSolrを含むサブスクリプションをリリースいたします。

サポートサービスご加入のお客様は、上記手順を参考にして必要な対応を実施していただきますようお願いいたします。

以上、今後ともよろしくお願い申し上げます。

KandaSearch

KandaSearch はクラウド型企業向け検索エンジンサービスです。
オープンAPIでカスタマイズが自由にできます。

  • セマンティックサーチ

    人間が理解するように検索エンジンがテキストや画像を理解して検索できます。

  • クローラー

    検索対象文書を収集するWebクローラーが使えます。

  • 簡単操作のUIと豊富なライブラリー

    検索や辞書UIに加え、定義済み専門用語辞書/類義語辞書やプラグインがあります。

  • ローコードで低コスト導入

    検索UIで使い勝手を調整した後、Webアプリケーションを自動生成できます。

セミナー

企業が検索エンジンを選定する際のポイントから、
実際の導入デモをお客様ご自身でご体験!