お問い合わせ採用情報お客様ログイン

RONDHUIT

ニュースINFORMATION

ホーム > ニュース > [Solrプラグイン] セキュリティ警告:Apache Tomcat and the hashtable collision DoS vulnerability

[Solrプラグイン] セキュリティ警告:Apache Tomcat and the hashtable collision DoS vulnerability

2011.12.29
お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース:
すべて

内容:
最近発表されたJavaのハッシュテーブルの実装を要因とする脆弱性の記事[1]をすでにご覧になっているかもしれません。Apache TomcatはHTTPリクエストパラメータを保持するためにハッシュテーブルを使用しているため、この脆弱性に該当いたします。

記事[1]によれば、オラクル社はこの脆弱性の対応をJREで行わないとのことです。

Tomcatはこの問題に対する回避策を、単一リクエストにおける処理可能なパラメータ数の上限を設定するために用意された新しいパラメータ(maxParameterCount)をすでに提供しています。このデフォルト値は10000です。この数値はどんなアプリケーションにおいても十分大きく、また、DoS攻撃への効果を軽減するのにも十分小さい値といえます。

本回避策は以下のバージョンで利用可能です:

  • trunk
  • 7.0.23 以前
  • 6.0.35 以前


また、5.5系は5.5.35がリリースされたら、こちらでも利用可能です。

maxParameterCountパラメータを持たない以前のApache Tomcatを利用している場合は、maxPostSizeパラメータを数十kBに限定することでこの問題を軽減することができるでしょう。

本件はApache Tomcatの脆弱性としては表出しませんが、アプリケーションがこの問題で影響を受ける可能性があるため、ユーザに回避策をお知らせするため、Apache Tomcatセキュリティチームは今回アナウンスを行いました。

Apache Tomcatセキュリティチーム

[1] http://www.nruns.com/_downloads/advisory28122011.pdf

以上、今後ともよろしくお願い申し上げます。

▲ ページの先頭に戻る

ピックアップ

お問い合わせ

 

PAGE TOP
HOME
Apache Solr, Lucene, Hadoop, Mahout, Spark, ManifoldCF, UIMA and their logos are trademarks of the Apache Software Foundation.
Copyright © 2006-2017 RONDHUIT Co, Ltd. All Rights Reserved.