お問い合わせ採用情報お客様ログイン

RONDHUIT

ニュースINFORMATION

ホーム > ニュース > [Solrプラグイン] セキュリティ警告:CVE-2011-2204 Apache Tomcat information disclosure

[Solrプラグイン] セキュリティ警告:CVE-2011-2204 Apache Tomcat information disclosure

2011.06.28
お客様各位

平素はお引き立てを賜り、ありがとうございます。

Apache Foundationより当社のプラグインに含まれますTomcatについて、セキュリティ警告のアナウンスが発表されましたので、お知らせします。

対象Solrプラグインリリース:
  • rel-0.5.3 (Tomcat 6.0.32)
  • rel-0.6.3 (Tomcat 6.0.32)
  • rel-0.7.2 (Tomcat 6.0.32)


○ CVE-2011-2204 Apache Tomcat information disclosure
重要度:低

MemoryUserDatabase (tomcat-users.xmlベース)を使いJMX経由でユーザを作成したときユーザ作成中にもし例外が発生すると、JMXクライアントへのエラーメッセージ内にユーザの パスワード情報も含まれてしまいます。このエラーメッセージはTomcatのログにも書き込まれます。ユーザのパスワードはJMXアクセスおよびtomcat-users.xmlのリードアクセス権のある管理者に 見えてしまいます。また一般ユーザであっても、ログファイルのリードアクセスが可能な場合は、やはりユーザのパスワードが見えてしまいます。

Tomcat開発チームは、当該ソースコードを改変して意図的な例外を発生させないと、このエラーを再現させることができませんでした。理論的には、OutOfMemoryErrorの発生により、 この脆弱性が再現する可能性があります。

回避策: クレジット:
この問題は、Polina Genovaによって発見され、Tomcat開発チームにメール経由でプライベートに知らされました。

参考情報:


当社の今後の対応について:
今回発表されたセキュリティ警告についてはTomcat 6.0.33にて改修されます。再現する可能性が低いので、次期プラグインリリース0.8からTomcat 6.0.33を使用いたします。

以上、今後ともよろしくお願い申し上げます。

▲ ページの先頭に戻る

ピックアップ

お問い合わせ

 

PAGE TOP
HOME
Apache Solr, Lucene, Hadoop, Mahout, Spark, ManifoldCF, UIMA and their logos are trademarks of the Apache Software Foundation.
Copyright © 2006-2017 RONDHUIT Co, Ltd. All Rights Reserved.